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Persona che si diverte ad esplorare i dettagli dei sistemi di programmazione 
: come espandere le loro capacita, a differenza di molti utenti, che preferiscono 
imparare solamente il minimo necessario." 
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era il ragazzino di dodi- 
ci anni che fa colazione 
-mm con pane & Linux. C'era 
quello che ha appena cominciato, ha 
un entusiasmo fuori dal comune ma 
ancora annaspa. C'era il security 
anager molto trendy che sembra- 
uscito dal set di uno spot di 
rut, in giacca e cravatta, e che 
gli amici dice che le riviste le ha 
comprate per il figlio. E c'era dav- 
vero il papà, col figlio (a casa si 
divertono ad attaccare i rispettivi 
PC). C'erano ance gli agenti della 
ostale, meno antipatici del previsto; lo 
filuppatore open source; l'appassio- 
nato di satelliti che deve parlare col 
decoder, sennò non si capisce quello 
che dice. 
E? E soprattutto, tra quelli che 
1 sono venuti a trovarci nello 
f stand di Hacker Journal in Smau 
P 'i aerano migliaia di persone. 
. Persone che ci. hanno fatto i 
- complimenti per inostri meriti e 
ci hanno sgridato per le nostre 
pecche, hanno commentando 
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' migliorare HJ. 

A tutti quanti, e anche a 
uelli che in Smau non sono 
otuti venire, va il nostro più pro- 
ne/o e sentito GRAZIE. 



/ 



qrand@hackerjournal.it 



; per chi non e riuscito a passare, 
foto qui a fianco si può vedere il 
nostro stand, tutto lamiere ondulate, 
graffiti e manifesti strappati. Pareva 
quasi che lo avessimo occupato illegal- 
mente senza dare troppo nell'occhio.§ 
O forse era proprio così? ;-) 



OPEN SOURCE 
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ià da qual- 
che nume- 
ro pubbli- 
cate lettere di 
ragazzi che fre- 
quentando la 
scuola superiore si 
ritengono insoddi- 
sfatti dell'insegnamen- 
to ricevuto. Posso capire che la 
maggior parte degli insegnanti di 
informatica si siano laureati pa- 
recchio tempo fa e da allora non 
hanno frequentato nessun corso 
di aggiornamento, ma bisogna 
anche pensare che dalla scuola 
superiore non ci si possono aspet- 
re argomenti di carattere infor- 
latico troppo avanzati. 
La cosa che trovo veramente irri- 
tante è la mania di onnipotenza 
di questi ragazzi che vi scrivono. 
Sul numero 10 Mnoga affermava 
che nel suo istituto tecnico indu- 
striale si trattasse limitatamente 
di rete e solo al quinto anno; non 
contento poi aggiunge che la sua 
scuola li costringe a "cimentarsi 
per più di un anno con programmi 
obsoleti quali il Pascal". Sul primo 
punto devo dire che anch'io ho 
frequentato il 5° anno di istituto 
tecnico industriale lo scorso anno. 
Di rete il prof, non ne ha neanche 
accennato. L'argomento di teleco- 
municazioni più all'avanguardia 
che ho studiato è stato il telefono 
a disco, ma non per questo mi 
sento offeso o sottovalutato. In 



quanto alla programmazione mi 
hanno insegnato un linguaggio 
che trovo utilissimo e che sicura- 
mente tu dalla tua "superiorità" 
troverai preistorico: l'assembly. 
Ma proprio non riesci a capirlo 
che non si può avere tutto e subi- 
to? La scuola ti mostra la via, sei 
tu che poi devi approfondire e 
continuare da solo. 
Un'altra lettera su cui avrei da ri- 
dire e che mi ha spinto a scrivervi 
è quella di Vender apparsa sul 
numero 1 1 . 

Non riesco veramente a capire 
perchè secondo te su un pentium 
mmx 200 si riescono ad imparare 
cose che su un p133 non ci si può 
neanche sognare. A proposito del 
corso per la patente europea per 
l'uso del computer (ECDL), nessu- 
no ti costringe a farlo: insomma 
se non vuoi pagare per studiare 
delle cose che credi di sapere già 
ma che probabilmente non cono- 
sci a fondo, puoi farlo benissimo 
senza starti troppo a lamentare di 
sentirti preso per il culo. Questa 
della patente europea è una ini- 
ziativa che ha coinvolto molte 
scuole pubbliche e private italia- 
ne e non solo il tuo liceo per pren- 
dersi beffa della tua "intelligenza 
superiore". È comunque insoppor- 
tabile il modo in cui ti lamenti di 
win95: devono insegnarti ad usa- 
re un sistema operativo che nelle 
sue varie versioni non è che sia 
cambiato poi di molto nell'inter- 



faccia e nell'utilizzo. 
Peraltro credo che insegnino an- 
che qualche fondamento dell'uso 
del pc in dos. Mi spieghi poi come 
fanno a spigartelo sul win ME che 
non ha un vero ambiente dos, ma 
solo una emulazione da console. 
Alla fine della tua lettera poi no- 
mini Linux, così, senza un conte- 
sto, solo perchè fa molto cool. Se 



la fiducia nelle istituzioni pubbli- 
che, devo dirti che io è da molto 
tempo che ho smesso di aver fidu- 
cia in gente come te. 
La scuola cerca di avvicinare tutti 
i propri alunni all'informatica di 
base, di certo non si può preten- 
dere che vengano spiegati i pro- 
tocolli di rete o come programma- 
re una backdoor o un portscan- 
ner. Avete tutta questa voglia di 
imparare? Vi sentite così superio- 
ri rispetto agli altri? Ebbene in- 
ternet è stracolma di info, tutorial 
e documenti vari che aspettano 
solo che qualcuno li legga. Oppu- 
re avete solo voglia di lamentarvi 
e basta? Allora la via del Lamer è 
spianata innanzi a voi. 
Se poi avete tutta questa smania 
di imparare da un professore 
competente, aspettate di prende- 
re il diploma e poi iscrivetevi al- 
l'università, poi vediamo se avete 
ancora voglia di lamentarvi. 

GIANLUCA 



UN GIORNALE PER TUTTI: SIETE NEUJBIE UERI HRCKERS? 
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MIO HACKING 



Il mondo Hack è fatto di alcune cose facili e tante cose difficili. Scrivere di Hac- 
king non è invece per nulla facile: ci sono curiosi, lettori alle prime armi (si fa 
per dire) e smanettoni per i quali il computer non ha segreti. Ogni articolo di 
Hacker Journal viene allora contrassegnato da un level: (per chi co- 

mincia), MIDHACKING (per chi c'è già dentro) e (per chi man- 

giapaneeworm). 
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IL ROVESCIO DELLA MEDAGLIA 

Secondo me Palladium è le svolta 
che Stallman, Torvalds e gli altri 
aspettavano. Sarà la prova definiti- 
va per il Software Libero (non solo 
sviluppato con l'Open Source, ma 
concesso con licenza GPL (sarebbe 
ora che tutti capissero che il softwa- 
re free non è gratis, ma LIBERO). 
Arriverà il giorno in cui i ragazzini 
invece di comprare PC preconfezio- 
nati con Wincrok, assembleranno 
makkine fantastike, dando poi a lo- 
ro la vita con una distro GNU/Li- 



Secondo me, Palladium velociz- 
zerà questo processo di evoluzione. 
Finalmente zio Bill sta facendo il 
"nostro gioco". Certo, ci dovremo 
accontentare delle macchine che 
abbiamo, ma sicuramente 



i di smanettare vale 



Adesso ci vuole un piccolo p.s., non 
sono di certo un nemico di zio Bill, 
o meglio, sono conscio del fatto che 
Windows ha portato il PC nelle ca- 
se di tutti, compresa la mia, e che 
la semplificazione provoca instabi- 
lità a ogni sistema operativo, ma 
come ogni buon imprenditore (vedi 
altri a noi + vicini... =)) zio Bill ha 
esagerato e merita una lezione, 
dobbiamo farci sentire, oppure pie- 
garci al suo volere COSA SCEGLIE- 
TE ??!! 

B4dP 

Sicuramente anche in Microsoft han- 
no fatto un ragionamento simile (se 
blindiamo il sistema, la gente cam- 
bierà sistema), ma hanno valutato 
accuratamente il rischio. Soprattutto 
perché dalla loro parte hanno un'ar- 
ma molto efficace: i contenuti. Cosa 
succederà se un film rifiuterà di ve- 
nire riprodotto se si cerca di vederlo 
su un sistema non Palladium compa- 
tibile? O se un CD audio non potes- 



se essere suonato se non su un letto- 
re Palladium/Policeware, o se un si- 
to Web non visualizzasse testi e im- 
magini su browser che girano su 
piattaforme aperte? 
Se abbastanza utenti si rifiuteranno 
di comprare film e musica o di visi- 
tare siti "non aperti", chi produce 
contenuti dovrà per forza piegarsi, 
per continuare ad avere un mercato. 
Altrimenti, temo che bisognerà ri- 
nunciare a quei contenuti. 
Oppure, chissà che anche nello 
spettacolo e nell'informazione non 
si diffonda la tendenza dell'Open 
Source, per la produzione di infor- 
mazione libera? 

CHI SCHERZA COL FUOCO... 

Ultimamente ho lavorato con alcuni 
programmi come Netbus e Subse- 
ven, più per curiosità che per dei fi- 
ni particolari. Non essendo assolu- 
tamente esperto nella materia, è fi- 
nita che mi sono infettato, favoren- 



do l'accesso ad altre persone nel 

mio PC. 

Per ovviare a tutto questol 



aei Tro|an e qualcuno riesc 
ra a farmi visita? 



E ancora, non aprendo alcun server 
di programmi simili, è possibile 
avere intrusioni da parte esterne? 
Perché da quando uso la Chat ICQ, 
il mio Norton Personal Firewall, ri- 
vela molti attacchi. 

Guido 

Tranquillo, se hai riformattato sei a 
posto (sempre che tu non avessi 
qualche virus tra i file di backup). 
Teoricamente, se non ci sono ser- 
ver attivi, sei tranquillo, ma... l'uni- 
co computer sicuro è quello spento 
e staccato dalla rete. Verifica di 
non avere attiva la condivisione di 
file e stampanti, e tieni chiuse tut- 
te le porte che non servano a un 



CORAGGIO DI OSARE: INDI PENDENTI DA TUT 



programma noto. 

DIFENDERSI DA CHI DEFACCIA 

Volevo chiedervi se mi potete indi- 
care qualche sito dove posso trova- 



Nuova passwoid! fìftISfCa f*M¥a 



Francesco88 



Non esiste un singolo documento 
che risolva tutti i problemi. L'argo- 
mento dell'integrità di un sito Web si 
inserisce nella sicurezza del server 
più in generale, e dipende da tantis- 
simi fattori: la piattaforma utilizza- 
ta, i servizi attivi su di essa, il Web- 
server e il suo grado di aggiorna- 
mento, i CGI e gli script utilizzati... 
Inoltre, queste informazioni cambia- 
no di giorno in giorno. 
Mi sa che ti tocca studiare, e tanto, 
oppure rivolgerti a un esperto. 

THE FIREWALL IS ON THE TABLE 

Recentemente ho installato Zone 



Alarm Pro 3.1.395 e, 



Quindi mi chiedevo se esiste una 
versione tradotta, o se mi segnala- 
ste qualche guida o meglio ancora 
se voi pubblichereste una guida 
dettagliata! 

achers58 



Ecco i codici per accedere alla Secret Zone 
del nostro sito, dove troverete informazioni 
e strumenti interessanti. Con alcuni browser, 
potrebbe capitare di dover inserire due vol- 
te gli stessi codici. Non fermatevi al primo 



user: 



3ccia 



Purtroppo non esiste una versione in 
Italiano di ZoneAlarm (non si può 
fare a meno di conoscere l'inglese 
se si vuole fare qualcosa in questo 
campo). Noi abbiamo pubblicato 
una guida di base alla impostazione 
di ZoneAlarm sul n. 5 (la trovi nella 
sezione Arretrati del nostro sito). Se 
però apri Google.it e inserisci le pa- 
role "guida zonealarm" , e spunti 
"Cerca le pagine nella categoria Ita- 
liano" troverai svariate altre guide. 

TV ANTI HACKER 

Sono uno studente come tanti, e la 
sicurezza informatica mi appassio- 
na moltissimo! Oggi a pranzo stavo 
guardando un cartone animato su 




Volevo esprimere un parere a caldo si 
stro commento riguardante il sondaggi 
sito di hj, incominciando col dire che io se 
no tra quelli che hanno risposto che il sof 
ware lo avrebbe copiato ugualmente i 
quanto è la verità. Ma quando ho letto il ve 



per i nuovi gruppi emergenti e ho tentenna- 
to, ma poi ci ho ripensato. Ho deciso che 
sopra agli introiti dei dischi ci avreb- 
bero mangiato enti più potenti come la 
Siae, lo Stato, le casa discografiche o le 
grandi Multinazionali e qui sono tornat- 
sui miei passi. Non pago la musica pe~' ! 
non voglio dare soldi a loro. 

Jll 

Mah, c'è gente che non compra benzina She 
né prodotti Nestlè per protesta contro le 
te di quelle aziende, ma non per quest 
salta distributori né ruba il cioccolato 
permercato. 

Nel sondaggio in cui ci domandavate qi 
to eravamo disposti a spendere per un Ci 
scaricato da internet io ho risposto 6 . Poi, 
nella rivista, ci avete chiesto di motivarlo, lo 
penso che 6 _ siano un prezzo più che 
onesto per un CD. Pensate cosa com- 
priamo con quei soldi: 4 cappuccini al 
mattino. Non mi pare che sia chiedere 
troppo rinunciare a quattro cappuccini 
al mattino per poter avere un CD di musi- 
ca. Se poi pensiamo che scaricandolo pos- 
siamo anche magari scegliere le canzoni il 
prezzo mi sembra abbastanza misero: in uno 
dei CD da 20-30? che compriamo media- 
mente ci sono 2 canzoni belle 3-4 mediocri 
e le altre non le ascoltiamo se non la prima 
volta. Se per ascoltare 2-3 canzoni di un 
cantante mediocre dobbiamo spendere 
l'equivalente di 50.000 delle vecchie li- 
re mi sembra una rapina, ma chiedere 
a un cantante professionista, che scrive 
e suona belle canzoni di "regalarci" un 
CD da un'ora di musica mi sembra ru- 
bare, allo stesso modo. 

GOGETA SSJ 

Più che altro, noi volevamo una rispost 
chi, come JiNKo, non pagherebbe nemmen 
la metà del prezzo che tu ritieni giusto. 
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al nostro sito è possibile iscriversi alla newsletter , 
grazie alla quale potrai conoscere tutte le novità re- 
lative al sito e alla rivista. La newsletter viene spe- 
dita ogni due settimane, il mercoledì. Su ogni edizione 
della newsletter vengono elencati gli argomenti trattati 
sul numero di Hacker Journal che troverai in edicola dal 
giorno dopo, sapere quali novità ci sono sul sito e rima- 
nere sempre aggiornato sulle nostre iniziative. 
Per iscriversi basta inserire il proprio indirizzo email dal- 
la home page di www - hacker journal - it 



Italia 1 (Per la precisione si trattava 
di Conan) e sono rimasto deluso 
dalla definizione che veniva dato 
degli hackers: 




r per ruoare aari o per ins< 
ei virus". Ma ci siamo impazziti?? 
Spero che la maggior parte della 
gente che ha visto il cartone rifletta 
sulla frase citata: se questo è quel- 
lo che si pensa degli hackers, tutti 
gli sforzi compiuti da molte perso- 
ne sono stati vani! Un hacker non 
fa queste cose; un hacker (come 
viene definito nel "Jargon File") è 
un programmatore entusiasta, che 
è convinto che la condivisione del- 
le informazioni sia un bene positi- 
vo ed efficace, e che sia un "dove- 
re etico" condividere le proprie 
competenze scrivendo free softwa- 
re (questa è figura un po' utopica, 
ma affascinante). Gli hacker non 
sono pirati che rubano dati, al loro 
lavoro si deve anche la creazione 
del pc e del modem, l'affermazione 
di Internet, e molte altre innovazio- 
ni tecnologiche! 



Posta e secret zone 
imbizzarrite? 



uli di aut 

r la lettur 

jb delle caselle con indirizzo @hac 

urnal.it hanno avuto qualche problem. 

■Icuni casi, infatti, invece di mostrare la 

gina protetta, il server segnalava un eri 

* oggi, il problema sembra essere stat 

>lto, e non dovrebbe presentarsi più. 
Ricordiamo che la Secret Zone e la pai 
per registrare gratuitamente una cas 
@hackerjournal.it sono accessibili con i e 
si trovano a pagin 
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Proprio per evitare di essere confu- 
si con coloro che penetrano nei si- 
stemi informatici solo per provoca- 
re danni, gli hacker hanno comin- 
ciato a chiamare "cracker", ma mi 
rendo conto che non è servito a 



ripetute più volte, lo so, ma se ac- 
cadono ancora certi eventi, qual- 
cosa bisogna fare per cercare di 
cambiare l'opinione pubblica sugli 
hackers, persone non da criticare 
ma da ammirare e lodare. 

MaNwE 

Che vuoi che ti dica: io sto leggen- 
do "Hackers Diaries, confessioni di 
giovani hacker", e nonostante l'au- 
tore sia stato in contatto con questo 
mondo per scrivere il suo libro, usa 
indiscriminatamente la parola hac- 
ker per descrivere script kiddies, 
defacer e ogni sorta di lameroni. 

MODEM LENTO 

Volevo chiedere 



metterci qualche minuto meno 
scaricare. Vi chiedo ciò perché ho 
un 56K ma mi si collega a 31.200 
bps, e di conseguenza scarico a 
non più di 3 Kb/s. Non dico di ar- 
rivare a velocità altissime, ma al- 
meno da scaricare a 4 o 5 Kb/s. 

Niger 

Innanzi tutto, dovresti assicurarti di 
avere aggiornato il firmware del 
modem alla versione più recente 
(V.92 o V.90 almeno), visitando il 
sito del produttore e scaricando gli 
eventuali aggiornamenti (occhio a 
seguire attentamente le istruzioni, 
potresti rovinare il modem se qual- 
cosa andasse storto). In seguito, as- 
sicurati di aver selezionato un dri- 
ver appropriato e aggiornato, e non 
una impostazione generica. 
Se tutto questo è a posto, l'unica 
cosa che rimane da fare è control- 



senza sdoppiatori, prolunghe o 
giunzioni. Se è lontano, fatti fare un 
cavo ad hoc della lunghezza giusta 
(qualsiasi negozio di telefonia può 
fartelo con una spesa modesta). Se 
neanche così riesci a ottenere qual- 
che risultato, significa che la linea 
Telecom è molto disturbata, magari 
perché vivi lontano dalla centrale 
più vicina, e non c'è molto da fare 
(se non segnalare il problema a Te- 
lecom e sperare che se ne occupi). 

POSSO AUTO-ATTACCARMI? 

Qualcuno ha rubato la password 
della mia casella di posta elettroni- 
ca, e la ha persino modificata, in 
modo che ora io non riesco ad ac- 
cedere alla mia casella mentre in- 
vece lui può leggere tutti i messag- 
gi che mi vengono inviati. Volevo 
chiedervi se 



volta. In fin dei conti, sto solo cer- 
cando di violare la mia casella, no? 

Gianluca 

Non proprio. Anche se lo scopo è 
quello di ottenere accesso a una ca- 
sella che è intestata a te, ti troveresti 
comunque a effettuare un attacco a 
un computer che appartiene ad altri 
(il provider), e questo non è lecito. 
Inoltre, l'attacco a forza bruta po- 
trebbe sovraccaricare le risorse del 
server o provocare errori di varia na- 
tura, cosa che peggiorerebbe le cose. 
La cosa migliore da fare è quella di 
contattare il provider e farsi resettare 
la password. Il tutto è molto più sem- 
plice se, all'atto dell'abbonamento, 
hai fornito i tuoi dati veri; se invece 
hai dato una falsa identità, per il pro- 
vider è difficile capire se stai dicendo 
la verità, o se invece sei un malinten- 
zionato che vuole sottrarre la pas- 
sword al legittimo proprietario. 



e cambiarla a mia 




rivare direttamente alla presa Tele- 



. . . ooops ! 



:on un unico cavo 
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O CIAO PAUL 

Il senatore americano Paul Wellstone, 
paladino del diritto alla privacy, è morto in un 
incidente aereo venerdì 25 ottobre. Tra le sue 
più recenti battaglie, va ricordata quella contro 
le compagnie telefoniche, per impedire a esse 
di "mettere in vendita" i dati personali del loro 
utenti (registro delle chiamate effettuate e 
ricevute compreso). 




3 FALLA CRITICA IN 
KERBEROS 

La versione 4 del demone di compatibilità del 
sistema di autenticazione Kerberos 
(kadmind4) è sensibile a un attacco buffer 
overflow, che potrebbe obbligare il sistema 
attaccato a utilizzare una vecchia e meno 
sicura versione di Kerberos. In questo modo, 
un attaccante potrebbe ottenere accesso non 
autorizzato al sistema e alle sue chiavi. 
Ulteriori informazioni e patch sono su 
www- ciac -org/ciac/ 
bulletins/n-DDT.shtml 



O SI MOLTIPLICANO I 
SITI WIRELESS 

Anche in Italia si moltiplicano i siti che 
offrono informazioni sulle reti Wi-Fi. Dopo 
Airgate.it e OnWireless.it, è nato anche 
www -securitywireless- info, 
che si propone di esplorare il territorio della 
fragile sicurezza delle WLan. Al momento in 
cui scriviamo, il sito è ancora un po' povero 
di materiali, ma contiamo che presto si 
riempirà di notizie, tutorial e documentazione 
tecnica. 



O SMAU: I GRANDI ASSENTI 



uest'anno Smau aveva il sapore un'opera teatrale di Beckett. Come in Aspettando Godot, i 
protagonisti sono gli assenti. Non si parla d'altro che del fatto che questo o quel ma 
quest'anno hanno preferito disertare la più importante manifestazione informatica italiar 
i che non hanno più i soldi per parteciparvi (principalmente i portali Internet) o di quelli 

-pace all'anima loro, e a quella dei dipendenti licenziati- non sono più in attività. 

Forse per mettere in chiaro come stanno le c ncQ 

e per evitare di essere classificati nelle ulti 

due categorie, alcune aziende hanno preferito 

precisare i motivi della propria assenza. Acer (il 

più grande produttore di notebook al mondo, e 

tra i più importanti produttori hardware in 

generale) ha diffuso un comunicato stampa in 



HvISON, 



cui afferma di aver preferito investire quei soldi Jt, 

in campagne pubblicitarie e attività Internet. f^HrP^V** \ 

Sony invece ha mostrato l'artiglieria del '*■ 

reparto marketing della sua Playstation, 

tappezzando Milano di manifesti la cui scritta 

è inequivocabile: "Siamo fuori: fuori da Smau, 

fuori dagli schemi". La mancanza di Sony e 

della Playstation fa ancora più rumore, perché si 

manifesta proprio nell'anno in cui Smau ha finalmente preso coscienza (con qualche 

anno di ritardo) del fatto di essersi trasformata da manifestazione per utenti professionali ir. 

fenomeno di massa. Proprio nell'anno in cui Smau punta sull'intrattenimento, sfoderando un 

poderoso Italian Lan Party con 1200 postazioni di gioco collegate in rete, il colosso del divertimento 

elettronico snobba la manifestazione, e le fa pure le linguacce dai suoi manifesti. 



O ATTACCO AL CUORE DELLA RETE 



!1 ottobre scorso, i principali server DNS di 
niternet sono stati sottoposti a un attacco di 
tipo Denial of Service. Nonostante solo 5 tra i 
13 DNS server mot hanno continuato a 
funzionare, solo pochi utenti hanno potuto 
percepire qualche problema o hanno subito 
qualche rallentamento. I server DNS funzionano 
come una "rubrica telefonica" di Internet, 
traducendo in indirizzi IP numerici le richieste 
effettuate dagli utenti tramite indirizzi 
mnemonici (tipo hackerjournal.it). Ogni provider 
ha un suo DNS, ma tutti vengono sincronizzati e 
aggiornati attraverso i server centrali, proprio 
quelli messi sotto at 



Apparentemente, l'attacco è stato portata 
un enorme flood di pacchetti ICMP, cos 
-fortunatamente- denota una si 
competenza del cracker. Un attacco di pan 
entità ma portato da una persona con maggiori 
competenze tecniche, avrebbe potuto abbattere 
tutti e 13 i server, con pesanti conseguenze «■■' 
traffico dell'intera Rete. 
Da anni si afferma che i server DNS sono il vero 
tallone di Achille della rete, in parte per la loro 
organizzazione gerarchica (da pochi mot server 
dipende lo smistamento degli indirizzi in tut 
mondo), e in parte per le debolezze del softw 
d, utilizzato da tutti i server. 



O WI-FI: AVANTI CON GIUDIZIO 



nora, secondo la legge italiana, le reti 
_wireless Wi-Fi si potevano utilizzare solo in 
_ ambito privato (casa, ufficio, piccoli locali) 
ma non come tecnologia di accesso a Internet 
rivolta a un vasto pubblico. Probabilmente per 
non fare uno sgarbo agli operatori di telefonia 
che avevano pagato a caro prezzo le licenze per 
la tecnologia UMTS, il governo aveva fino a oggi 
cercato di prendere tempo, evitando di ratificare 



la direttiva dell'Unione Europea che chiedeva di 
liberalizzare l'offerta al pubblico delle 
connessioni Wi-Fi. 

Ora, il Ministro Gasparri ha annunciato che chi 
vorrà potrà sperimentare l'accesso Wi-Fi, ma 
solo su aree limitate e senza scopo di lucro. 
Quale provider si metterà a installare punti di 
accesso wireless non sapendo se potrà mai 
ricavare un centesimo dall'operazione? 
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O MICROSOFT BEFFATA SU PALLADIUM 



„. tranquillizzare i paladini della privacy e 
dell'operi source, durante l'undicesimo 
f USENIX Security Symposium tenutosi in 
agosto, il project manager del progetto 
palladium, Peter Biddle, ha dichiarato che 
Palladium serve al controllo dei contenuti 
multimediali e non è un sistema di controllo 
per il software. In particolare, ha affermato che 
le software house non possono usare 
Palladium per proteggere il software dai pirati, 
o per obbligare gli utenti a rispettare la licenze 
del software. A questo punto Lucky Green, 
(www.cyberpunks.to) ha immediatamente 
compilato due richieste di brevetto riguardanti 



l'uso della tecnologia Palladium; una per 
proteggere il SW e l'altra per imporre il r 
delle licenze. Pare incredibile, ma sembra che 
questo potrà bloccare l'utilizzo di Palladium fir 
a quando Lucky Green non deciderà di d 
licenza il suo brevetto, magari a MS. 
A quanto pare, Lucky Green non ha ness 
intenzione di farlo, e vedremo quando si 
scatenerà la battaglia legale e i dollari 
inizieranno a piovere se Green sarà in grado di 
resistere all'attacco. Se, come ha dichiarato, 
Microsoft non ha effettivamente intenzione di 
usare Palladium per questi scopi, non cambierà 
nulla, ma chissà perché, noi non ci crediamo. 



O POLICEWARE ALL'ORIZZONTE 



na nuova minaccia si abbatte sul fronte 
del software open source e su tutti noi in 
generale. Il CBDTPA, (Consumer 
Broadband and Digital Television Promotion 
Act) è una proposta di legge che come recita il 
titolo, serve "per regolare il commercio (lo 
scambio) da uno stato all'altro con determinati 
dispositivi, installando nel settore privato delle 
tecnologie e misure di protezione che dovranno 
essere implementate e fatte rispettare dalle 
leggi federali per proteggere il materiale digitale 
e per promuovere la banda larga ed aiutare la 
transizione alla televisione digitale e per altri 
scopi.". La descrizione appare abbastanza 
contorta, anche nella sua versione in legalese 
americano... 

La legge obbligherebbe a montare un 
dispositivo di protezione (policeware), 
approvato dal governo, in tutti i nuovi PC e 
dispositivi domestici digitali (lettori CD, DVD, 
MP3, decoder...) di intrattenimento 
venduti negli Stati Uniti. ffjft 

Questo policeware limiterebbe la ^ 
possibilità di fruire del materiale 
protetto da copyright, vietando «-* 
alcune delle operazioni che si 
possono compiere e persino 
tenendo un registro delle operazioni 
compiute per la successiva 
ispezione. È abbastanza evidente 
che, accanto alla pirateria, questo : 
potrebbe limitare parecchie operazioni 
legittime, come la copia (o la 'fj 
conversione in altri formati) di opere 
multimediali regolarmente acquistate. ^ 
In parole povere, diventerebbe I 
impossibile rippare dei CD per 
realizzare una compilation dei propri 
brani preferiti, o archiviare MP3 per 



ascoltarli con lettori portatili. Per rincarare la 
dose, la legge prevede nuove pene per chi 
infrange le limitazioni: fino a cinque anni 
prigione federale e una multa di 500.000 dollari. 
Pensate che potreste aggirare la legge 
rimuovendo il policeware dal vostro personal 
computer? Meglio ripensarci... : chiunque 
elimini il dispositivo governativo disabilitando o 
modificando il policeware sul loro proprio 
calcolatore, a casa propria o in ufficio 
rischierebbe cinque anni di carcere. 
Molto probabilmente i sistemi operativi 
alternativi come Linux e FreeBSD rifiuterebbero 
di inserire il policeware nel loro codice... tempi 
duri anche per loro: "usi Linux? In galera pure 
tu!" 

Per informazioni: 
www-stoppoliceware-org 



-opS 



O PC SMILE RADDOPPIA 



È in edicola il secondo numero di PC Smile, 
la rivista con CD allegato con una raccolta 
del materiale più divertente, pazzo ed 
esilarante di Internet: foto bizzarre, filmati, 
animazioni, barzellette, finti virus e sfondi 
sexy per il tuo desktop. 



^M 




O KOURNIKOVA: 
6-0, 6-0 

Jan de Wit, alias OnTheFly, autore del 
malefico worm Anna Kournikova è stato 
condannato anche nel processo di appello. 
Consegnatosi sponteamente alla polizia, il 
22enne danese rischia ora di passare un po' 
di tempo in carcere. 






ss — v*-, 1*1 





O REUTERS PIRATA? 

La prestigiosa agenzia di stampa Reuters è 
stata accusata di essersi intrufolata nei 
sistemi informatici del gruppo svedese 
Intentia, allo scopo di ottenere dati finanziari 
della società prima della loro pubblicazione 
ufficiale. Nelle scorse settimane, gli scarsi 
risultati finanziari del terzo trimestre di 
Intentia erano divenuti pubblici prima della 
dichiarazione ufficiale di bilancio; a seguito di 
un'investigazione interna, Intentia ha potuto 
verificare che quei dati erano stati scaricati 
illegalmente da un indirizzo IP appartenente a 
Reuters. Pessime news, davvero. 
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DIVX E MPEG4 
SULLA TELEVISIONE 

La scandinava Kiss Technology (www.kiss- 
technology.com), in collaborazione con DivX 
Networks, ha presentato un lettore di DVD da 
tavolo dalle caratteristiche uniche. Oltre a 
poter leggere DVD, Video CD e SVCD, CD 
Audio, CD dati con file Mp3, questo 
"mangiatutto" è in grado di riprodurre anche 
filmati in formato MPEG-4 e DivX, con codec 
delle versioni 4 e 5. Il prezzo del KiSS DP-450 
(questo il nome del lettore) si aggirerà sui 
400 € più IVA. 



O RETI APERTE IN SAAAU... O FORSE NO? 



□ 



ABIackHats (blackhats.it), noto gruppo di 
esperti di sicurezza tuttiprovenienti da ex 
ambienti hacker, presentano i risultati di una 
sessione di war walking effettuata all'interno 
della mostra per cercare falle di sicurezza nelle 
reti WI.FI. In una sessione di soli 15 minuti 
effettuata passando dall'interno di un padiglione 
a una strada per entrare nel padiglione 
successivo, sono state rilevate 80 postazioni 
wireless tra terminali e stazioni base; tra 
queste, 58 sono risultate non protette e 
accessibili alla navigazione, mentre 22 erano 
protette dal sistema di cifratura e 
autenticazione WEP (peraltro, piuttosto debole). 
Gli strumenti utilizzati sono stati un PC portatile, 
una scheda Wi-Fi e un'antenna omnidirezionale 
da 2 Db di guadagno. 



Il giorno della presentazione dei risultati, allo 
stand Microsoft è stato lanciato un allarme: 
qualcuno avrebbe provato ad attaccare la rete 
wireless del colosso del software. Tutti i sistemi 
sono stati spenti ed è stata fatta intervenire la 
polizia postale. Il giorno dopo, la connettività è 
stata assicurata con i vecchi, tradizionali, 
rassicuranti cavi. Mentre si spargeva la voce 
sulle possibili, gravissime conseguenze 
dell'attacco, sulle tecniche utilizzate e sui 
possibili "esecutori", noi scambiando quattro 
chiacchiere con un dipendente Microsoft 
abbiamo saputo come sono andate veramente 
le cose: non si è affatto trattato di un attacco, 
ma di una semplice interferenza con uno stand 
vicino, che però ha fatto scattare il campanello 
di allarme in casa Microsoft. 



O MICROSOFT COPIA ANCHE LA PUBBLICITÀ 



□ 






O I NUMERI 899 ORA 
SI DISABILITANO GRATIS 

Finora Telecom si era rifiutata di disabilitare, 
su richiesta dell'intestatario della linea 
telefonica, la possibilità di chiamare i numeri 
con prefisso 899 (cosa già possibile per 144 
e 166). Gli 899 sono particolarmente insidiosi 
e costosi, perché sono spesso oggetto di 
spamming telefonico e dei dialer per 
computer. 

Come era già accaduto per i numeri 144 e 
166, Telecom ha cercato di respingere il più 
possibile le richieste dei consumatori (perché 
in realtà guadagna tantissimo trattenendosi 
una fetta del traffico generato dai dialer), ma 
ha dovuto recepire un invito piuttosto 
esplicito da parte dell'Authority per le 
telecomunicazioni. Da novembre sarà invece 
possibile chiedere la disabilitazione di tali 
numeri senza alcuna spesa in bolletta. Per 
informazioni, basta chiamare il 187. 



-n America furoreggia la campagna 

^pubblicità "Switch" di Apple 

m m (www.apple.com/it/switch/). In queste 

ji pubblicità vari professionisti, e uomini e 

donne della strada, parlano del perché 

hanno abbandonato la piattaforma 

Microsoft a favore di quella Apple. 

Questa campagna ha avuto un successo 

tale che Microsoft ha sentito il bisogno di 

mostrare che esistevano anche persone 

che cambiavano da Apple a Microsoft. 

Peccato che, mentre Apple ha usato all'interno 

della sua campagna persone "vere" 

identificandole con nome e cognome, Microsoft 

non è andata oltre a un paio di dettagli personali 

dicendo che la "pentita" era alta 5 piedi e 3 

pollici (circa 1.72 m) che aveva affittato una 

Lexus, faceva la scrittrice freelance ed era 

sposata ad un uomo alto 6 piedi (circa 1 .98 m). 

Decisamente pochino, ma su Internet non c'è 

pace per nessuno. 

La ragazza era Valerie G. Mallinson (Shoreline, 
Washington state), che intervistata da 
Associated Press, ha confermato la storia: 
"Credo di poter dire il vero, ero io". 
Nell'annuncio la ragazza sosteneva di aver 



cambiato a Microsoft dopo otto anni di uso del 
Mac e che cambiare era stato facile, come le 
era stato promesso. Il problema è nato dopo 
che su Slashdot (www.slashdot.org) la donna 
della fotografia è stata identificata come una 
modella utilizzata per delle foto di archivio, 
disponibili a tutti e distribuite dall'agenzia Getty 
Images (www.gettyimages.com), foto 
disponibile anche per voi a partire da 49.95 $. 
Questo ha ovviamente contribuito a rendere 
tutta la sua storia chiaramente poco credibile. 
Microsoft ha immediatamente tolto l'annuncio 
e, potenza dei potenti, ha anche fatto cancellare 
le tracce dalla pantagruelica cache di Google!!! 
Tra l'altro all'interno del file che Microsoft 
proponeva di riempire per i convertiti, compare 
un nome interessante: Mallinson, come autrice 
del template che la Microsoft proponeva ai 
potenziali convertiti. 

Ecco cosa compare nelle ultime righe del 
documento, aprendolo con un editor 
esadecimale "CommentsgTo[\x1 E], Valerie 
Mallinson (Wes Rataushk & Asse Ine)". Lo 
stesso nome della presunta testimonial. Che 
fortunata coincidenza, la stessa autrice del 
template è anche una delle prime convertite. 





"Tutto è più semplice da 
quando sono passata a Mac!* 
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O LA RETE SUI FILI ELETTRICI 



□ 



Chi vuole realizzare delle reti di computer in 
edifici molto antichi si scontra spesso con 
grandi difficoltà: le vecchie mura in 
mattoni o pietra non sono semplici da scavare 
per realizzare canaline che possano ospitare i 
cavi, e costituiscono spesso uno schermo 
impenetrabile per le onde radio delle reti 
wireless. In più, le leggi a protezione dell'arte 
impediscono o limitano la realizzazione 
di opere murarie. L'unica soluzione è 
quella di utilizzare una rete già 
esistente, come quella elettrica. Ci ha 
pensato Digicom, che con il suo Power 
Switch 10/100 permette di sfruttare la 
rete elettrica dell'edificio o 
dell'appartamento per convogliare, oltre alla 
corrente elettrica, anche dati fino a una 
velocità di 14 Mbit/sec. Lo switch ha quattro 
porte, più una spina per collegarlo a una 
qualsiasi presa elettrica. Collegando un altro 
switch a un'altra presa, si potranno quindi 



mettere in rete fino a 7 computer in due stanze 
diverse. 

La sicurezza è affidata da un lato alla 
separazione della rete elettrica nel punto in cui 
è presente il contatore (che introduce disturbi 
che impediscono la trasmissione dei dati), e 
dall'altro ai protocolli 
di cifratura 
supportati. 




O PERSINO LA BSA E CONTRO 
IL "PIZZO" SUI CD-ROM 




£ 'aumento della tassazione sui supporti 
vergini, proposto da una bozza di decreto 
legislativo, e che dovrebbe scoraggiare la 
pirateria, non piace nemmeno a chi la 
pirateria la combatte tutti i giorni. 
In un incontro organizzato da 
ASMI, ANIE e ANDEC, BSA 
Italia si è unita alle proteste 
di produttori e distributori 
di supporti vergini, 
associazioni per la tutela 
dei consumatori e 
difensori delle libertà 
digitali. Secondo la BSA, 
non è giusto far pagare un 
esercizio legittimo, come 
quello della copia personale, 
per due o tre volte (il diritto 
d'autore sull'opera, più la tassa 
sul supporto e quella 
sull'apparecchio di registrazione). 
Secondo i produttori e distributori di supporti 



vergini, un altro effetto perverso del decreto 

legislativo potrebbe essere la nascita di una 

nuova forma di contrabbando, quello dei 

supporti vergini. Se il costo reale di 

un CD vergine è di 30 o 40 

centesimi, ma il suo prezzo 

nei negozi supera l'euro 

per via delle tasse, non 

è difficile pensare che, 

accanto ai giochi 

masterizzati e alle 

videocassette pirata, 

i mercatini di tutta 

Italia verranno invasi 

da milioni di supporti 

importati illegalmente. 

(Ah, prima che qualcuno 

faccia il secchione, lo 

sappiamo benissimo che il 

demone accanto al CD nella foto 

è il logo di BSD, che con BSA non 

c'entra nulla. È che era così simpatico...) 







INFINTO, LOOP: 
LOOP INFINITO: 



ved: 
ved: 



•LOOP INFINITO* 
•INFINITO, LOOP* 

> Da un dizionario dei termini informatici 



o hackerjournal.it 

VERSIONE 2.0! 

Alcuni lettori si sono un po' lamentati 
ultimamente perché il sito della rivista non 
era molto aggiornato, o perché si sono 
manifestati alcuni problemi. Il motivo è 
presto detto: il fido Bismark stava lavorando 
a una nuova e più ricca versione del sito. 
In questi giorni stiamo testando il nuovo 
motore e la nuova grafica, probabilmente nei 
primi giorni potrebbe esserci qualche 
problemuccio nel passaggio: voi segnalatici 
ogni inconveniente, ma portate anche un po' 
di pazienza. 




O COMMODORE 64 
PORTATILE A 1 GHZ! 



La voglia di tenere in vita un vecchio 
computer aggiornandone i componenti è 
lodevole, ma a volte si esagera. Un tizio è 
riuscito a creare un sistema basato su 
Pentium 4 a 1 GHz utilizzando il case e alcuni 
componenti del Commodore 64 SX (quello a 
forma di valigia, con monitor integrato). Tutti 
i dettagli sono su http://sx64.opsys.net 
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INTERVISTA A KENNETH DE SIEGELEIRE 







>E SIE<aELEIR 



r ffitaftW*' 



d grassa a 
sicurezza, e per lui runico hacker buono è quello in gabbia 



intuizione è venuta quasi dieci 
anni fa a uno studente venten- 
ne del Georgia Institute of 
Technology di Atlanta, nel Vecchio Sud degli 
Stati Uniti: sensori anti-intrusione e difesa 
perimetrale. Oggi Christopher Klaus e il suo 
amico che studiava Economia e Commer- 
cio, Thomas Noonan, su quell'intuizione 
hanno costruito Internet Security System 
(ISS), una delle più grandi aziendae nel 
campo della sicurezza informatica. E anche 
sponsor, insieme a Microsoft e Oracle, della 
conferenza organizzata a Parigi poche setti- 
mane fa da RSA Security, altro mostro sacro 
della sicurezza e della crittografia. 
All'interno del mastodontico Centro Con- 
gressi Concorde La Fayette, dove per tre 
giorni si sono dati appuntamento gli esperti 
della sicurezza, cioè i "bravi ragazzi" che 
ogni giorno cercano di proteggere le azien- 
de dalle intrusioni informatiche dei "cattivi 
ragazzi" della rete, abbiamo intervistato 
Kenneth De Siegeleire, ventisettenne belga, 
due master in ingegneria elettronica e sicu- 
rezza dei network, con una forte competen- 
za sulla crittografia. Lavora per ISS ed è a 
capo della divisione europea di X-Force. 
Cerchiamo di capire che lavoro fa, quali so- 
no le procedure seguite per creare la sicu- 
rezza e chi pensa che siano i suoi "nemici". 



HJ: Kenneth, che cos'è X-Force? 

KDS: Il team di X-Force è il più grande gruppo 
di ricerca privato per la sicurezza informatica: 
siamo più di ottanta persone, la maggior 
parte delle quali lavora ad Atlanta. Ma mol- 
ti, come me che lavoro in Europa, sono dis- 
locati in varie parti del mondo. All'inizio era- 
vamo il team dedicato solo alla ricerca per la 
sicurezza informatica all'interno di ISS. Ades- 
so, siamo diventati qualcosa di più comples- 
so, perché la nostra ricerca viene integrata 
all'interno dei nostri prodotti, e svolgiamo an- 
che attività di consulenza. 

Che tipo di consulenza? 

Andiamo sul campo per svolgere un lavoro a 
più diretto contatto con i nostri clienti, e of- 
friamo anche un'analisi dei loro sistemi effet- 
tuando test di penetrazione, per vedere che 
tipo di rete hanno implementato e quanto è 
sicura. Quando sono attaccati dall'esterno, 
cerchiamo di capire esattamente come mai e 
in che modo, e poi li aiutiamo a realizzare un 
meccanismo di risposta, un "incident pro- 
cess". Cioè, che cosa fare quando si accor- 
gono che sono sottoposti ad un attacco. 

Fate anche attività di "intelligence"? 

Per fare "intelligence", cioè capire prima quel- 
lo che succede ed essere in grado di preve- 
dere gli attacchi, abbiamo stabilito tre diffe- 
renti politiche. La prima consiste nelle strette 
relazioni che abbiamo stabilito con le azien- 



de produttrici di software e di hardware, per 
capire le debolezze dei loro prodotti prima 
che arrivino sul mercato. La seconda politi- 
ca consiste nel lavorare molto con le reali 
apparecchiature dei nostri clienti, perché 
ogni installazione è diversa dalle altre e può 
presentare debolezze che le sue singole 
componenti, prese una per una, non han- 
no. 

C'è poi un terzo modo che in realtà non ha 
una procedura ben definita ma che è co- 
munque molto importante. Siamo in contat- 
to con esperti di sicurezza che potremmo 
chiamare White Hat Hacker, cioè persone 
che seguono regole etiche che li rendono 
differenti dai cosiddetti Black Hat. Frequen- 
tiamo anche le mailing list, i siti web, i ca- 
nali chat dove queste persone solitamente 
sono, e cerchiamo di accumulare esperien- 
za e informazioni relative ai tipi di attacco 
che vengono sviluppati. 

Può farmi qualche esempio di siti do- 
ve siete presenti? 

C'è un sito in Sud Africa che è abbastanza 
importante all'interno della comunità hac- 
ker: w w w ■ h a g : a . 
Ma ce ne sono anche molti altri, ovviamen- 
te. E noi non siamo certamente i soli, dato 
che per esempio l'Fbi effettua monitoraggi 
molto approfonditi di questi posti dove gli 
hacker si trovano per scambiarsi informa- 
zioni e dove può comparire anche qualche 
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Black Hat che racconta alcune violazioni che 
ha commesso recentemente. Qui scopriamo 
le nuove tecniche di attacco contro debolez- 
ze che non erano ancora state individuate. 

Alcuni mesi fa ho visitato il vostro 
Quartier Generale di Atlanta, e lì 
Christopher Klaus mi ha detto che og- 
gi un Pc collegato a Internet per 24 
ore di fila, viene automaticamente 
violato. E 1 vero? 

Si, un giorno o poco più, se non viene in- 
stallato nessun software di protezione. Ad 
esempio, ogni volta che io mi collego a In- 
ternet da casa il mio sistema rileva dei ten- 
tativi di intrusione. Questi sono gli attacchi 
automatici, una cosa che stiamo vedendo 
sempre più spesso nell'ultimo anno. 
Ad esempio, alcuni mesi fa la media 
era già diventata di una cinquantina di 
imalicious request tramite la porta http 
ogni ora. Cosa significa: erano tenta- 
tivi da parte di Code Red di capire se 
su un computer stava funzionando un 
server Microsoft US e se era una ver- 
sione attaccabile o no. Non c'era 
nessuno che stava cercando delibe- 
ratamente di attaccare il Pc, aweni- I 
va tutto in modo automatico attra- 
verso Internet. 

Chi c'è dietro a questi attacchi? 

Gli hacker. Ne esistono vari tipi: la 
definizione minima di hacker è 
quella di un appassionato curioso di infor- 
matica. Sono persone curiose anche di sicu- 
rezza, e cercano di capire come possano es- 
sere violate le altre macchine. Non li assolvo 
in nessun modo, perché quello che fanno 
può causare comunque danni, dato che non 
sanno precisamente quello che stanno facen- 
do. Sono studenti, giovani, ma possiamo im- 
maginare che ci siano anche altre persone, 
magari pensionati innamorati dei Pc. 
Poi c'è una seconda categoria, quelli che po- 
tremmo chiamare i vandali, gli hooligans. 
Come le tifoserie più violente fanno danni 
solo per il gusto di fare danni, di rompere le 
cose. Attaccano i sistemi informatici ma sen- 
za neanche la scusa della curiosità. Al limite, 
vogliono farsi una reputazione come i più 
bravi hacker. 

Poi, c'è una terza categoria, gli evangelisti 
della sicurezza, una sorta di vigilantes. Loro 



si considerano in qualche modo dei veri 
esperti: attaccano sistemi che appartengono 
a strutture di alto o altissimo livello, come 
grandi aziende, entità governative, grandi 
fornitori di servizi. Quello che cercano di fa- 
re è dimostrare l'esistenza di debolezze in 
quei sistemi, per far vedere non solo quanto 
sono competenti loro, ma anche quanto so- 
no incompetenti queste organizzazioni. Co- 
me i vigilantes, che ritengono di avere la leg- 
ge nelle loro mani, vogliono decidere loro 
che cosa è giusto e sbagliato. 
Infine, la quarta categoria è quella peggio- 
re. Sono gli hacker di professione. E' vera- 
mente molto raro incontrarli, non solo per- 
ché sono pochi ma anche perché sono mol- 
to bravi. Riescono ad evitare la maggior par- 
te dei sistemi di intrusion detection, 



sanno essere mol- 
to pazienti, aspet- 
tare anche per 
mesi, raccogliendo 
informazioni in 
modo passivo, la- 
vorando sopra un 
attacco che poi ri- 
chiede al massimo 
due secondi per es- 
sere eseguito. Non 
lo fanno gratuita- 
mente, ma sono 
quasi sempre colle- 
gati a fenomeni di 
spionaggio industriale 
e adesso in qualche 
caso anche alla criminalità organizzata e a 
certi tipi di terrorismo. 

Quindi gli hacker per voi sono solo 
una minaccia oppure sapete che esi- 
stono anche come cultura? Vi interessa 
questo fatto? 

Per essere onesti, non spendiamo tempo a 
indagare la cultura hacker di per sé. Certo, 
quasi tutte le maggior parte delle convention 
di hacker vedono anche la presenza di con- 
sulenti per la sicurezza informatica, per stu- 
diare l'evoluzione della scena internazionale. 
Abbiamo bisogno di essere aggiornati su 
quello che succede. Ma la cosa finisce lì. 
Non abbiamo nessuna utilità a partecipare a 
quello che lei definisce "la cultura hacker". 
Alla fine, il nostro obiettivo è quello di sco- 
prire nuove debolezze nei software il più ve- 



li 



locemente possibile. L'unico motivo per cui 
potremmo essere interessati alla cultura 
hacker, come accade qualche volta, è 
quando siamo chiamati come consulenti le- 
gali in un processo in cui il giudice vuole ca- 
pire quali sono le motivazioni, anzi il mo- 
vente che ha spinto l'imputato ad agire in 
un certo modo, e quale gruppo di hacker 
ha concretamente realizzato un attacco. 

OK, proviamoci in un altro modo: qual è 
il vero rìschio per un'azienda oggi? At- 
tacchi di hacker da fuori oppure di im- 
piegati "infedeli" dall'interno? 

Molte statistiche riportano che la maggior 
parte degli attacchi viene dal di fuori di 
un'azienda, attraverso Internet. Questo, al- 
meno, è quello che si può leggere sui log 



dei sistemi di intrusion detection. Ma ci so- 
no anche quelli che vengono dall'interno, 
perpetrati da parte dei dipendenti stessi. La 
mia idea è che la maggior parte degli at- 
tacchi vengano da fuori, da un punto di vi- 
sta quantitativo. Ma il più alto numero di at- 
tacchi che vanno a buon fine vengono dal 
di dentro: gli impiegati conoscono meglio 
la rete interna, ha motivi specifici, sanno co- 
sa cercare. 

Quindi, almeno sul fatto che gli hac- 
ker non sono il pericolo principale 
per un'azienda, siamo d'accordo. 
Un'ultima domanda: per voi lavora 
qualche hacker o ex-hacker? 
No, assolutamente. Abbiamo un accordo 
con tutti i nostri clienti, in base al quale que- 
sto non è possibile. Consideri che noi ve- 
diamo tutte le debolezze all'interno dei si- 
stemi informatici dei nostri clienti. Alla fine, 
il lavoro sulla sicurezza è basato essenzial- 
mente sulla fiducia. Le aziende che ci chie- 
dono una consulenza debbono essere sicu- 
re che le persone del nostro staff siano per- 
sone di fiducia. Molti dei nostri dipendenti ci 
devono presentare delle credenziali da par- 
te dei loro governi per essere sicuri che sia- 
no incensurati e non abbiamo alcun tipo di 
precedente penale in campo informatico e 
non. Per questo non lavoriamo con free- 
lance entusiasti della sicurezza, o con per- 
sone di cui non siamo certi, o che si pre- 
sentano come "esperti" di sicurezza, se non 
li conosciamo bene. 
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Nauigando nei siti dedicati ali hacking, spesso capita di 
imbattersi in pagine che, apparentemente, mostrano il 
contenuto del nostro disco, o informazioni sulla connessione: 
in realtà si tratta di semplici e innocui trucchi. Eccoli suelati. 



PICCOLI TRUCCHI CHE METTONO MOLTA PAURA 



n molti siti riguardanti il mondo dell'Hacking si posso- 
no trovare pagine che mostrano il contenuto del nostro 
Hard-Disk oppure quello del Cd-Rom o ancora la ver- 
sione del browser e sistema operativo utilizzato. E 
:uno si chiede se sia davvero così facile spiare il contenuto 
di un disco su Internet. Spesso queste pagine hanno titoli come: 
"Mmmh... vediamo cosa c'è nel tuo HD..." oppure "Ti vedo!!" 
o ancora "Che bell'HD quasi quasi...". Per esempio nel nume- 
ro 10 di HJ un lettore scriveva che pur avendo firewall e nessu- 
na condivisione, andando su un sito vedeva tutto ciò che c'era 



nel suo HD. 

Non bisogna affatto spaventarsi! 



» Ecco come fanno! 

Quello che noi vediamo è un semplice collegamento alla car- 
tella del nostro Hard-disk che solo ed esclusivamente noi pos- 
siamo vedere. Quindi non c'è nessun pericolo che il webmaster 
(che si gasa tanto per niente...) possa fare qualcosa per dan- 



neggiarci! Infatti tutto questo e 'solo un trucco creato inserendo 
nel sorgente della pagina un oggetto che fa riferimento al con- 
tenuto dell'hardisk. 



» finche noi! 



Vediamo ora qualche 
esempio di codice da ' 
poter inserire nel nostro 
sito, così finalmente sa- 
remo noi a fare spaven- 
tare i visitatori! :D ( 
Questo codice, inserito 
in una pagina Html già 
esistente, serve a visualiz- 
zare il contenuto del pri- 
mo Hard-disk dell'utente 
(cioè quello con lettera di 
identicazione C:) 




1-1— -» 1 — B "* — ' __ _■■«>*■ ■■* 



Ecco un esempi 
visitatore... 
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metro VALUE alla riga: 



CPARAM W 



<CENTER> 



» Informazioni soli niente 



JL-JJLUWbeilU 



NAME="Ai 



^AM NAME="i 



LzeFercentac 



NAME='^ 




Quest'altro codice invece, permette di visualizzare il secondo HD, se 
presente, altrimenti visualizza il contenuto del Cd-Rom (sempre se c'è' 



un CD all'interno): 

<TABLE bordei?=0 cellSpacing=0 width=400> 



30C1-11CF-A7EB- 
id=browserIcon£ 



Nelle stesse pagine, a vol- 
te vengono visualizzate 
anche altre informazioni, 
come la marca e la versio- 
ne del browser utilizzato, 
oppure la risoluzione im- 
postata sul monitor. In que- 
sto caso, queste informa- 
zioni sono effettivamente 
conosciute dal Webmaster, 

in quanto fanno parte della richiesta Http inviata dal browser al 
server, e vengono quindi memorizzate nel file di log. Come fare 
però a visualizzarle all'interno di una pagina? Uno dei modi più 
semplici è quello di utilizzare Javascript. 

Javascript è un linguaggio per creare script, sviluppato da Net- 
scape. Non è un vero linguaggio di programmazione come il lin- 
guaggio Java, perché non permette di creare applicazioni auto- 
nome. Infatti Javascript è un codice scritto all'interno delle pagi- 
ne HTML che viene interpretato dal client mentre viene letta la 
pagina HTML, e non può essere eseguito fuori dal browser Web. 
Java è invece un linguaggio che permette di costruire applica- 
zioni che possono essere eseguite all'interno di qualsiasi sistema 
operativo. Occorre solo una macchina virtuale Java; perciò non 
è indispensabile un" browser Web. 

Solitamente basta leggere il sorgente delle pagine HTML per sco- 
prire come sono state costruiti gli script Javascript utilizzati al suo 
interno (se l'autore non ha cifrato in qualche modo il codice o 
non lo ha nascosto in altri modi). Questo significa che basta fa- 
re un semplice "copia ed incolla" per poter inserire in una pagi- 
na quello che ti serve, preso da pagine già esistenti. Con questo 
script non solo si possono fare i trucchetti che vedremo dopo, ma 
permette anche di inserire in un sito moltissime altre cose utili. 



Adesso vediamo come si può visualizzare il tipo e la versione del 
Browser utilizzato dall'utente: 




»nt></CENTER>' 



Allo stesso modo, per visualizzare eventuali altri volumi (ulteriori 
dischi per esempio) basta sostituire la lettera di unità nel para- 



X/AXBRXBRXBRXBR 
<BR> ' +naviqator .appName+ ' 
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script, e la sua gestione degli eventi collegati all'uso del 



SCRIPT lanc 



Con quest'altro codice si può visualizzare la risoluzione del monitor f or (\ 

adottata dall'utente: do< 



:ript"^ 



ament . imac 



:ument . links 



(ev.wh 



scape' && 



/uoi rare.'"') ; 
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- ■_ ■ 


. open ( ) 
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Dcument 






documer 


ìt . writ< 




RI SOI 


AJZIONE 


GRAFI C 



arsione aei ore 



.te("<CENTER>") ; 
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erse | 

if 
Internet Explore 


(navigator 
r ' && 


. appName == 'Microsoft 




(event .button == 2 | | event.button == 


alert("Cosa vuoi fare?"); 
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</script> 
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NT In questo caso il messaggio di alert è "Cosa vuoi fare?" 
ma potete cambiarlo a vostra scelta. SI 





» Hltri subdoli trucchi 
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Vediamo infine come è possibile 

disabilitare, con un 

messaggio di avviso, il 

' tasto destro del mouse 

per non permettere di 

copiare dal nostro sito 

' sfondi, icone, immagini 

eccetera. Il nostro fedele 

alleato è sempre Java- 
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me abbiamo visto, spesso è possibile copiare un 
ipt da una pagina qualsiasi, per riutilizzarlo nel 
oprio sito, magari cambiando qualche dettaglio, 
trò, come è giusto che sia, siete spinti dal desidei 

di conoscenza e volete imparare a scrivere degli 

script tutti vostri, potete partire da questi siti per im 

parare Javascript. 

www.html.it/guide-htm 

www- manuali-net (cercate JavaScript) 
;tp://web.tiscali-it/genero/javascrip 
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LE PORTE DI RETE PIÙ NOTE E I SERVIZI ASSOCIATI 



/ 



1 



CHI BUSSA ALLA TUR PORTA? * 

finche un computer senza finestre (senza Windows) per comunicare con gli altri 
utilizza le porte di comunicazione 




e porte sono dei canali attra- 
verso cui avviene la trasmis- 
sione input/output del sistema 
con l'ambiente esterno, nel 
nostro caso la rete. In pratica 
possiamo dire che sono tanti 
corridoi preferenziali, ognuno 
dei quali associato ad un'applicazione ben 
precisa e che fornisce possibilità di trasferi- 
mento dati con altre macchine. Le porte, co- 
me vedremo, sono tantissime, ma in questa 
prima parte andremo a dare significato "so- 
lo" alle prime 1024, denominate porte 
note, che sono direttamente associate ai 
servizi di sistema. 

Per capire il concetto di pericolosità di una 
porta aperta si potrebbe fare, cadendo un 
po' sul banale, il classico esempio della por- 
ta di casa. Nel momento in cui un ladro tro- 
vasse una di queste porte aperta, sarebbe 



fin troppo facile entrare all'interno dell'abi- 
tazione... nel nostro PC. La soluzione?? Ov- 
vio... tenere tutte le porte chiuse! Ma se ten- 
go tutte le porte chiuse cosa succede? Suc- 
cede che diventa impossibile l'interazione 
con l'esterno ed il vostro PC si trasforma in 
una macchina da scrivere solo leggermente 
più evoluta. Diviene quindi necessario 
cercare di trovare una soluzione in- 
termedia che sia un giusto mix fra si- 
curezza e possibilità di utilizzo della 
rete. 

Come sempre prima di vedere le soluzioni 
andiamo ad analizzare il problema, elen- 
cando una per una tutte le porte coi relativi 
servizi, esaminando i loro punti deboli e cer- 
cando di capire come porvi rimedio. 
Tanto per dare una definizione scolastica 
possiamo dividere le porte in due categorie 
diverse: TCP e UDP. Queste porte non rap- 



presentano altro che i terminali di comuni- 
cazione all'interno dei sistemi e fra i diffe- 
renti sistemi, e stilano un elenco usato dal 
demone dei servizi. La differenza tra i due ti- 
pi sta nel fatto che la connessione TCP è as- 
sociata a una sincronizzazione dei numeri di 
acknowledgement, portando ad una con- 
nessione affidabile, mentre la UDP è anche 
chiamata "best-efford", data la presenza di 
un datagram senza connessione. Per uno 
studio più accurato si consiglia di controlla- 
re i documenti RCF 768-793. Fatte queste 
precisazioni andiamo quindi ad analizzare 
le porte note vedendo prima i servizi TCP 
(nella Tabella 1 ) e poi quelli UDP (Tabella 2). 
Come risulta ovvio, è impossibile andare ad 
analizzare le porte una per una data la loro 
quantità, ma cercheremo di vedere le più 
note e le più utilizzate dai cracker per otte- 
nere accesso ad un PC. 
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In questa schermata si possono vedere tutte le connessioni attive nel momento sul PC in cui 
I viene eseguito il comando, coi relativi indirizzi internet e con le porte associate. 



Porta 7 

E associata al servizio echo, modulo di co- 
municazione fra due PC. Viene utilizzata 
principalmente dal servizio PING; questo 
servizio (Pocket InterNet Grouper) funziona 
trasmettendo un segnale tipo PING a cui il 
ricevente risponde con un segnale tipo 
PONG. Serve per controllare la comunica- 
zione fra due punti della rete. L'exploit più 
noto associato a questa porta si chia- 
ma Ping of Death, ed è basato sull'invio 
di un pacchetto di dimensioni elevate (supe- 
riore a 65536 bytes). Il sistema non è in 
grado di elaborarlo correttamente e il risul- 
tato è un blocco o un riawio del sistema 
stesso. Un altro attacco utilizzato è il Floo- 
ding che, basandosi sull'invio massic- 
cio di richieste ICMR satura le risorse 
del sistema di fatto bloccandolo. 
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Dictionary 


600 


Garcon 


104 


X400-snd 


601 


Maitrd 


105 


Csnet-ns 


602 


Busboy 


109 


Pop2 


750 


Kerberos 


110 


Pop3 


751 


Kerberos-m 


111 


Portmap 


754 


Krb-prop 


113 


Auth 


888 


Erlogin 



Porta 1 1 ^_ 

E' associata al systat, servizio che in pratica 
serve per tenere d'occhio tutti i processi at- 
tivi su un determinato PC. La sua vulnera- 
bilità consiste nel fatto di permettere a un 
attaccante di controllare le applicazioni at- 
tive e ricavare informazioni sulla vittima. 
Porta 15 

Associata al servizio netstat fa in modo di 
poter controllare tutte le connessioni attive 
sulla macchina. 
Porta 19 

Associata al servizio chargen; questo servi- 
zio, di per sé innocuo, diventa pericoloso 



ICMP: Internet Control Message 
Protocol: servizio che invia pac- 
chetti di messaggio riferendo er- 
_ rori o informazioni sia sulla sta- 
zione trasmittente che su quella 
ricevente; i messaggi ricevuti vanno sotto 
numeri dallo al 18, rognone dei quali 
associato ad un messaggio particolare. 



se si sfrutta un bug che permette di reindi- 
rizzare alcune stringhe a un daemon parti- 
colare, ovvero il DNS. Di fatto queste 
stringhe disattivano il servizio su cui 
sono redirette. 

Porta 21 

Porta associata al servizio FTP Questo ser- 
vizio permette di inviare dati, riceverli, ef- 
fettuare operazioni quali lo spostamento, 
la cancellazione e la creazione di nuovi fi- 
les o directory all'interno del PC remoto. 

Porta 23 

Il servizio associato è Telnet, che viene utilizza- 
to come standard per le connessioni remote 
via Internet. I cracker usano dei punti deboli di 
questo daemon per inviare degli script che, 
causando dei buffer-overflow, normal- 
mente danno accesso root alla macchi- 
na remota. 



PING: invio di un segnale a cui 
un PC remoto risponde con un 
altro (PONG); serve per assicu- 
rarsi che ci sia comunicazione fra 
due punti della rete. 



FLOOD: invio massiccio di ri- 
chieste ICMP a cui il PC remoto 
non sa rispondere e reagisce con 
un blocco dei sistema per esauri- 
mento di risorse. 



ROOT: accesso "illimitato" ad 
una macchina unix o unix-like. 
Normalmente destinato agli 
amministratori di sistema, è la 
chiave fondamentale per un 
hacker per poter agire liberamente all'in- 
terno di un PC. 



Porta 25 

E' una porta associata ai servizi SMTP di 
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bella 2: porte Udp e servizi associa 
imero porta Servizio associato 



7 


Echo 


514 


Syslog 


9 


Discard 


515 


Printer 


13 


Daytime 


517 


Talk 


17 


Qotd 


518 


Ntalk 


19 


Chergen 


520 


Route 


37 


Time 


525 


Timed 


39 


Rlp 


531 


Rvd-contro 


42 


Name 


533 


Netwall 


43 


Whois 


550 


New-rwho 


53 


Dns 


550 


Monitor 


67 


Bootp 


561 


Monitor 


69 


Tftp 


700 


Acctmaster 


111 


Portmap 


701 


Acctslave 


123 


Ntp 


702 


Acct 


137 


Nbname 


703 


Aceti og in 


138 


Nbdatagram 


704 


Acctprinter 


153 


Sgmp 


705 


Aceti nfo 


161 


Snmp 


706 


Acctslave2 


162 


Snmp-trap 


707 


Acctdisk 


315 


Load 


750 


Kerberos 


500 


Sytek 


751 


Kerberos-n 


512 


Biff 


752 


Passwd-ser 


513 


Who 


753 


Userrea-se 
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Come si vede, a un comando PING di un indirizzo \P, corrisponde una risposta di tipo PONG, 
il che sta a significare che esiste una comunicazione fra i due PC. 



posta elettronica. Vengono sfruttati dei punti 
deboli del sistema per condurre attacchi ti- 
po DoS o mail-bombing. 

Porta 43 

Porta correlata al servizio Whols: non è utiliz- 
zata direttamente per attacchi alle macchine, 
ma viene interrogata insieme ad altri 
database per ricercare informazioni. 



Porta 53 

Il servizio domain è quel daemon che per- 
mette di risolvere gli indirizzi testuali in indi- 
rizzi numerici IP Lo spoofing di questi servizi 
permette di indirizzare i visitatori di 
pagine Web verso link diversi dagli 
originali. Questa porta viene anche sfrutta- 
ta per attacchi tipo DoS. 

Porta 67 

E' associata al servizio bootp, attivo sulle 
workstations. Ha un punto debole nel fatto 
di essere soggetta ad attacchi di tipo 
buffer-overflow che blocca- 
no il sistema. 



Porta 79 

L'attacco associato a questa porta serve a 
conoscere informazioni riservate sull'utente 

BUFFER-OVERFLOW: tecnica 
di esaurimento delle risorse di un 
computer. I PC dopo questo at- 

tacco di solito reagiscono dando 

possibilità di eseguire comandi 
come utenti root. 

attaccato. In un output proveniente dalla 
macchina sottoposta ad attacco si possono 
ricevere dettagli importanti sul pro- 
prietario del PC. 



il servizio 



Porta 80 

E' la più nota, quella asso 

http. I vari exploits puntane , v .„ «. 

mento delle pagine web ed al defacciamen- 

to dei siti, basandosi sulla possibilità di 

eseguire comandi in remoto. 

Porta 111 e 135 

Sono associate ai servizi portmap e loc-serv. 
Il primo serve per convertire i numeri dei 
programmi in numeri di porte dando di fatto 
una lista delle applicazioni attive. Il secondo 
è l'equivalente nei sistemi NT. 

Porta 512 

Il servizio exec viene utilizzato per l'esecuzio- 
ne di processi remoti. Questa porta è attiva 



Il tftp è un servizio simile all'FTP ma più basilare, usato normalmente nella programmazione dei routers. 



quando nel PC remoto è in funzione un si- 
stema X-Windows. I cracker sfruttano questo 
daemon per catturare finestre e fare 
operazioni di keylogging. 

Porta 513 e 514 

Porte di login e di shell; la loro presenza con- 
temporanea pone a favore dell'attivazione di 
un sistema X-Windows che può essere sfrut- 
tato da una sessione telnet. 

Porta 520 

Associata al servizio RIP del routing, lo snif- 
fing di questa porta può produrre informa- 
zioni sensibili sulla topologia della re- 
te attaccata. 

Porta 543, 544, 750 

Associate ai servizi klogin, kshell e kerberos; 
sono demoni che servono per trasferire in 
maniera sicura dati che viaggiano su una re- 
te non sicura, stabilendo una comunicazione 
a chiave univoca per ogni utente. Sono servi- 
zi soggetti ad attacchi overflow e spoof 
se non adeguatamente filtrate. 

CFrmFWTTR, 

c4t4r4tt4@hackerjournal.it 



Porta 69 

Il servizio tftp è una versi 
semplificata dell'FTP che no., 
richiede username o password 
per l'accesso. Viene di solito 
utilizzata per la programmazio- 
ne dei router. Il suo bug sta nel 
fatto che si possono facil- 
mente scaricare i files pre- 
senti all'interno dei router 
stessi che poi possono essere 
letti o decifrati. 
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lo CRITTOGRAFIA 
fi DOPPIA CHIAVE 



No, non ci stiamo riferendo alla "doppia mandata" con coi 
si chiode la porta di casa per stare sicori, ma 
all'algoritmo matematico che negli anni Settanta ha 
riuolozionato la scienza della cifratora dei messaggi. 



scorso numero ab- 



biamo parlato degli al- 
bori della cittografia e 
dei metodi che si sono affermati fino 
ai primi decenni dopo la seconda 
guerra mondiale. Nel 1976 venne 
pubblicato uno studio intitolato 
"New Directions in Crypto- 
graphy". Gli autori erano Whit- p 1 
field Diffide e Martin Hellman e ! 
ipotizzavano un sistema che j 
permettesse di avere due 
chiavi: una pubblica per ci- 
frare i messaggi e una pri- 
vata per decifrarli. Queste 
due chiavi dovevano essere fatte 
in modo da impedire di rico- 
struirne una pur conoscendo l'al- 
tra. L'anno seguente tre ricerca- 
tori del MIT riuscirono a identifi- 
care un algoritmo applicabile a 
questa teoria. Si chiamavano Ro- 
nald Rivest, Adi Shamir e Len Ad- 
leman e battezzarono l'algoritmo 
RSA, ancora oggi usato in diverse 
varianti con un grado di sicurezza 
pressoché assoluto. 
Tutto si basa su alcuni concetti m< 
tematici a dire la verità piuttosto I 
semplici. Dati due numeri primi, è ' 
un'operazione banale stabilire il lo- 



ro prodotto ma dato il loro prodotto 
è quasi impossibile risalire ai nume- 
ri primi originari, specialmente se i 
numeri primi sono molto grandi. 
Questo accade perché non esiste 
alcuna regola per scomporre in 
fattori un numero dato e biso- 
gna procedere per approssima- 
zioni e tentativi. Prima che 



qualcuno si metta all'opera occorre 
considerare che negli anni 90, per 
decodificare senza la chiave un 
messaggio con chiave di 128 bit, 
vennero impiegati più di 1600 
computer per 8 mesi di tempo. 

Attualmente i programmi per la ci- 
fratura asimmetrica utilizzano 
chiavi che superano i 2048 bit. 




PGP in 



vata di un sistema asimmetrico 
contiene i numeri già scomposti 
mentre quella pubblica ne con- 
tiene il prodotto. E quindi im- 
possibile risalire a una chiave 
privata partendo da quella 
pubblica. 
1 II problema reale di questo ti- 
1 pò di cifratura è piuttosto che, 
I anche con la chiave, l'opera- 
I zione di codifica e decodifica 
I è estremamente lenta: fino a 
I 1000 volte più lenta di un si- 
i stema tradizionale. Per ri- 
solvere il problema sono 
nati i sistemi misti che 
? mescolano i vantaggi dei 
!l ~ metodi tradizionali con 



del genere servono queMj dej sistemi a chia . 
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messaggio che deve essere 
trasferito da A a B. Con un 
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La soluzione è stata 
quella di mescolare i 
due metodi. A codifica 
il messaggio usando 
un sistema tradiziona- 
le come IDEA e con 
una chiave completa- 
mente casuale, gene- 
rata in automatico. 
Poi la chiave viene 
J codificata con la 
chiave pubblica di B, 
I in modo da renderla 
1 illeggibile. Il tutto 
viene inviato a B 
che per leggere il 
messaggio dovrà 
1 decodificare la 

chiave temporanea 
tramite la sua 
chiave privata e 
poi potrà decoditi- 
1 care il messaggio 
| vero e proprio 
;ial- usando la chiave 
odi- appena ricostrui- 
P uò ta. 

rche l Oggi il pro- 
tei 

I gramma < 



, di un normale > 



sistema tradizionale 
il messaggio viene codificato con 
una certa chiave e trasferito da A a 
B ma la chiave deve essere già in 
possesso di B oppure deve essergli 
stata comunicata usando un canale 
diverso da quello usato per inviare il 
messaggio (e qui c'è un primo grave 
rischio: se la chiave viene intercetta- 
ta, tutto il sistema di crittografia 
crolla miseramente). Con una codi- 
fica a chiave asimmetrica, invece, A 
può codificar eil messaggio usando 
la chiave pubblica di B e B lo deco- 
dificherà con la sua chiave privata. 
Il problema è che B impiegherà mol- 
to tempo per ricostruire tutto il mes- 
saggio perché l'uso del sistema 



i più usato al 
mondo è PGP, 
creato dall'americano Phil 
Zimmermann, che usa il siste- 
ma misto per la codifica dei 
messaggi. Il sistema è talmente si- 
curo che Zimmermann è stato messo 
sotto accusa dagli USA per aver vio- 
lato la sicurezza nazionale, diffon- 
dendo un sistema di cifratura che 
non può essere controllato dal go- 
verno degli USA. E stato scagionato 
dopo due anni e mezzo di dura bat- 
taglia e attualmente non si conosce 
nessuno che sia riuscito a decodifi- 
care i messaggi crittografati usando 
PGP. La domanda che pizzica tanti 
paladini della privacy è: "non si co- 
nosce nessuno perché nessuno l'ha 
decifrata, o perché chi l'ha decifrata 
non ha alcun interesse a dirlo"?H 

KHAMUL 
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L'algoritmo RSH 

Si tratta di una funzione particolare detta "non 
invertibile" perché dal suo risultato non è pos- 
sibile risalire ai valori di ingresso. Un po' come 
se mescolassimo gli ingredienti di una torta. 
Sarebbe alquanto difficile riuscire, partendo 
dalla torta, a dividere gli ingredienti originari 
tra loro. 

In pratica si scelgono due numeri con qualche 
centinaio di cifre decimali (scelti a caso) che 
siano primi. Per farlo si utilizza il test di Fermat. 
Poi si determina il prodotto dei due numeri e il 
prodotto dei due numeri pari immediatamen- 
te inferiori. Se A e B sono i due numeri si avrà 
fi =A*B e f2 = (A-l)*(B-l). Poi bisogna sceglie- 
re un valore C che sia primo rispetto al risulta- 
to di f2. C non deve cioè avere fattori primi in 
comune con f2. Per finire si trova un numero, 
chiamiamolo D, che moltiplicato per C e diviso 
per il risultato di f2 dia come resto della divi- 
sione 1 . Facendo un esempio con numeri pic- 
coli avremo: 
A=7eB=5 
fl=35ef2=24 

24 può essere scomposto come 3*2*2*2 quin- 
di occorre trovare un numero che non abbia 
questi come divisori. Poniamo C=7. 
Per questo il resto dell'operazione (D*7)/24 
deve essere uguale a 1 . Possiamo porre D=7 
(7*7/24=2 con resto di 1). 
La cifratura avviene dividendo il testo in blocchi 
di lunghezza non standard perché la lunghezza 
dei blocchi corrisponde al più grande intero X 
che soddisfa l'equazione 2 /v X<fl. Nel nostro 
esempio 2^5= 32, quindi il testo verrà diviso 
in blocchi da 5 bit. 

Ogni blocco Z viene poi cifrato calcolando il 
resto della divisione Z^D/fl. La decifrazione 
di un blocco, Zc, avviene invece calcolando il 
resto della divisione Zc ~ C/f 1 . 
E quindi chiaro che nella chiave pubblica è in- 
serito sia il valore di D che quello di fi ma è 
anche chiaro che per risalire al valore di C, in- 
dispensabile per la decodifica, occorre un cer- 
to lavoro. In modo specifico il lavoro necessa- 
rio è quello di trovare i numeri A e B cono- 
scendone solo il prodotto. Il nome del proble- 
ma è "fattoralizzazione dei numeri primi" e 
non esiste attualmente alcuno strumento mate- 
matico diretto per risolverlo con numero di una 
certa grandezza. 

Con le chiavi attualmente utilizzate, a 2048 bit, 
il tempo necessario per sfondare questo siste- 
ma di protezione può arrivare a qualche centi- 
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GUIDA ALLA GESTIONE DELLE LICENZE SOFTWARE IN UFFICIO 



SOFTWARE 

PIRATA IN AZIENDA 

Come un sistemista di rete può tutelare l'azienda e il suo posto di lauoro contro 
l'utilizzo di software illegale da parte dei dipendenti. 
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lettera 

che chiedeva appunto come 
potersi tutelare contro i 
colleghi che installano 
software pirata sui computer 
aziendali. Noi abbiamo a 
nostra volta girato a Enzo 
Borri, consulente antipirateria 
per aziende e per le Forze 
dell'Ordine. 



t 



I problema dell'utilizzo di soft- 
ware illegale in un'azienda va 
affrontato su due fronti: uno 
quello tecnico e uno quello le- 
gale. 

Parlando dell'aspetto tecnico, vi sono diver- 
se tipologie d'approccio. 
Una soluzione macchinosa ma utile nei ca- 
si in cui è necessario lasciare ampio spazio 
agli utenti, consiste nel creare un program- 
mino usando uno degli strumenti di base 
del sistema operativo - un .bat in DOS da 
usarsi su Windows piuttosto che un Apple- 
Script su Mac per fare degli esempi - che a 
ogni avvio o spegnimento della mac- 



hina invìi a un server in rete un 
lenco di tutti i programmi, i font 
quant'altro interessi tenere sot- 
controllo. Vi sarà poi un ulteriore 
rogramma sul server che analizzerà 
uesti file al fine di rilevare discrepanze 
con quanto installato dall'amministra- 
tore di rete. 

Sebbene possa funzionare, è uno scenario 
confuso in cui l'amministratore di sistema 
dovrebbe sempre esaminare giorno per 
giorno se sono state rilevate irregolarità. 
Inoltre, basterebbe decisamente una 
conoscenza minima del sistema per 
disabilitare questo tipo di controllo. 
Una soluzione più efficace, consiste nel li- 
mitare le possibilità dell'utente. Se il sistema 
operativo ha capacità di affidare il control- 
lo totale della macchina a un amministrato- 
re, si può autorizzare solo questo a installa- 
re software e si possono autorizzare invece 
tutti gli utenti al semplice utilizzo. 
Questa strada è valida per diversi sistemi 
operativi Windows, per Mac OS e per i si- 
stemi multiutente come Windows XP, Mac 



OS X e Linux. 

Se la rete e le macchine sono molte, nasco- 
no però dei problemi: nell'arco di pochi 
giorni tutti conoscerebbero la password 
dell'amministratore. Chi opera in grosse 
aziende sa benissimo che per comodità vi è 
una unica password usata dall'amministra- 
tore di sistema per accedere a qualsiasi 
macchina. È proprio l'amministratore che a 
volte, stanco di correre da un ufficio all'altro 
per installare una volta un aggiornamento, 
una volta WinZip o qualcos'altro, prima o 
poi rivela la password a uno degli 
utenti per fare sì che questi si arran- 
gi da solo togliendogli una scocciatura. 
Quest'utente, è tipicamente lo smanetto- 
ne dell'azienda che comincerà a da- 
re la password di amministratore a 
desra e a manca. 



» Un sistema centrale 



La soluzione che ora sta iniziando a pren- 
dere piede - e che appare la migliore e la 
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più semplice da gestire - consiste nell'usare 
uno o più server su cui sarà installato sia il 
sistema operativo che i programmi che ver- 
ranno usati dai vari utenti. Questo metodo 

- sebbene richieda delle reti dimensionate 
e ben studiate in funzione del traffico - si ri- 
vela essere anche più economico di altri in 
quanto consente l'acquisto di licenze "a 
utente" piuttosto che "a postazione". Que- 
ste consentono infatti l'uso di un program- 
ma a un certo massimo di utenti. Raggiun- 
to tale numero di utenti, chi vorrà usare 
quel programma dovrà attendere che uno 
degli utilizzatori lo chiuda. Se ci si pensa be- 
ne, non tutti gli utenti usano contempora- 
neamente tutti i programmi che hanno in- 
stallato o cui hanno accesso. Va comunque 
prestata attenzione alla licenza d'uso: molti 
prodotti software infatti hanno clausole che 
dicono che occorre una licenza per ogni 
utente che può utilizzare quel programma e 
non per il numero massimo di utenti con- 
temporanei! 

Tra i limiti di questa soluzione, vi può anche 
essere il fatto della difficoltà nel personaliz- 
zare il sistema operativo con driver specifici 
in funzione di particolari Hardware diversi 
tra le varie macchine in rete. 
Una delle soluzioni più belle del "Net-Boot" 
è quella di Apple. Quando varie macchine 

- anche di modello diverso - sono collega- 
te a un server con il sistema operativo - 
Mac OS - usato dai client, ciascuno di que- 
sti può accedere a un suo set di driver 
(estensioni, pannelli di controllo, librerie ti- 
po DLL eccetera) specifico per il suo hard- 
ware e per i programmi cui ha accesso. Da 
un unico pannello di controllo è possibile - 
in un paio di minuti al massimo - stabilire 
quali elementi attivare e creare dei set già 
pronti da utilizzare per più utenti. 



» Non solo software 



Tutte le soluzioni esaminate finora, non 
impediscono la presenza di crack, di 
raccolte di numeri di serie o di pro- 
grammi sotto forma di installer che 

qualcuno potrebbe prelevare da Internet. 
Va infatti detto che anche i programmi sot- 
to forma di installer necessitano di licenza e 
che i crack e le raccolte di numeri di serie 
sono da considerarsi illeciti in quanto rien- 
trano tra i "mezzi intesi unicamente a con- 
sentire o facilitare la rimozione arbitraria o 
l'elusione funzionale di dispositivi applicati 
a protezione di un programma per elabo- 



ratori". Le sanzioni, sono le medesime che 
per il software illecitamente duplicato. 
Si rende quindi necessario limitare l'ac- 
cesso a Internet lasciando aperte so- 
lo le porte necessarie alle attività uti- 
li all'azienda (es consultare siti, prelevare 
posta elettronica, accedere a database su 
server di altre sedi eccetera) chiudendo le 
porte tipicamente usate per FTP o da pro- 
grammi tipo HotLine, Carracho e simili. 
Questa, può anche essere un'occasione per 
chiudere anche le porte usate da program- 
mi tipo Napster per lo scambio di MP3. 
Sebbene infatti questa attività potrebbe non 
essere illecita, sicuramente il tempo perso e 
il traffico generato sulla rete sono sempre 
un danno — o almeno un fastidio — per 
l'azienda. 



» L'aspetto legale 



Esaminando poi l'aspetto legale del proble- 
ma, occorre dire che i reati di cui si è parla- 
to, sono reati penali! Ciò significa che per 
questi non può essere impuatata una 
figura giuridica quale un'azienda 
bensì una persona fisica. Trattandosi di 
persona fisica, se come responsabile viene 
identificato un dipendente, sarà questo a 
essere denunciato oppure - nel caso venis- 
se denunciato il responsabile legale dell'a- 
zienda - quest'ultimo potrà rivalersi in sede 
civile nei confronti del dipendente chieden- 
do un risarcimento per il danno subito. Va 
anche detto che, secondo lo statuto del la- 
voratore, vi sono gli estremi per cui il di- 
pendente potrebbe anche essere li- 
cenziato a causa di questo suo com- 
portamento illecito. 
Una buona educazione in ambito azienda- 
le sui rischi nel caso si installi illecitamente 
del software è innanzitutto doverosa, ed è 
un ottimo deterrente per evitare gran parte 
dei possibili comportamenti scorretti. 
Ma anche gli amministratori devono sotto- 
stare a certe regole, e non possono met- 
tersi a sorvegliare indiscriminata- 
mente le attività dei colleghi. Lo statu- 
to dei lavoratori vieta espressamente l'in- 
stallazione sul posto di lavoro di strumenti 
di controllo remoto (art. 4), quali telecame- 
re e microfoni e -per estensione- anche 
strumenti di logging delle attività Internet o 
di monitoraggio del lavoro svolto al com- 
puter (keylogger, strumenti per la cattura re- 
mota dello schermo). A volte, qualche 
amministratore colto dalla sindrome 



di onnipotenza che spesso affligge i 
sysadmin, dimentica queste regole e 
si mette a "spiare" i propri colleghi 

(qualche volta persino per espressa indica- 
zione della direzione). E bene che si sappia 
che queste attività non possono essere pra- 
ticate senza aver fatto prima un accordo 
con le rappresentanze sindacali e informa- 
to tutto il personale sottoposto ai controlli. 



» Conclusioni 



Viste le varie soluzioni possibili, la super-so- 
luzione può essere quella di fornire a tutti i 
dipendenti informazioni sulle leggi e sulle 
politiche aziendali attuate in propria tutela e 
informare i dipendenti sull'esistenza di file 
di log che consentono l'identificazione del 
nome utente utilizzato all'atto dell'installa- 
zione di componenti software o dell'indiriz- 
zo IP utilizzato per attività su Internet. For- 
nendo poi a ciascun utente una propria Io- 
gin e password personali per accedere al 
proprio elaboratore il quale avrà un suo in- 
dirizzo IP assegnato dall'amministratore. 
Oltre a tutelare l'azienda evitando compor- 
tamenti scorretti o potendo identificare 
eventuali responsabili, si tutelerà anche il 
dipendente evitando che qualcun'altro 
compia operazioni "strane" a sua insaputa. 
Di solito infatti... è sempre colpa di qualcu- 
n'altro! In ultimo, secondo la Legge in tute- 
la della Privacy, va detto che l'utilizzo di una 
password onde consentire l'accesso agli 
elaboratori solo da parte del personale au- 
torizzato, rientra tra i requisiti minimi da at- 
tuarsi qualora sugli elaboratori vengano ef- 
fettuati dei trattamenti di dati personali, m 

ENZO BORRI 

enzo@borri.org 



Link utili 

www ■ privacy ■ it 
Informazioni varie legate al tema del- 
la privacy 

www.garanteprivacy.it 

Sito del Garante per la protezione dei 

dati personali 

www ■ lomb - cgil ■ it/leggi/ 

legge3DD ■ htm 

Lo statuto dei lavoratori 
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COME FUNZIONA LA SICUREZZA DEI SISTEMI WINDOWS 




egli ultimi anni ed in particola- 
re con l'uscita dei sistemi ope- 
rativi Win2000pro, 
Win2000Server, Microsoft sem- 
bra aver finalmente cambiato politica nei 
confronti del problema sicurezza. Da un 
lato si è avuta una parziale rinuncia alla 
semplicità d'utilizzo (è un po' più difficile 
configurare un sistema Win2000Server 
che un sistema NTServer) ottenendo in 
cambio un miglioramento consistente del- 
la sicurezza. Vediamo, in particolare co- 
m'è cambiata la procedura d'auten- 
ticazione degli utenti tra Windows 
NT e Windows 2000, che vulnerabilità 
questi cambiamenti andavano a corregge- 
re e quali problemi ancora rimangono. 

» Il giro del fumo 

I sistemi Windows NT prevedono tre tipolo- 
gie d'autenticazione: locale (Locai Logon), 
in un dominio (Domain Logon), verso un 
dominio che ha una relazione di fiducia 
(trust relationship) con un altro dominio 
(Trust Domain Logon). Per semplificare 
l'argomento descriveremo soltanto il Do- 
main Logon. Ora, "semplificare" forse è 
una parola grossa; le procedure sono 
piuttosto complicate, e conviene che 
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leggia 

anche 

schema di autenticazione in queste 

pagine. 

Immaginiamo che l'utente Caio voglia col- 
legarsi al dominio HJ; inserisce il nome 
utente, la password e il dominio nell'appo- 
sita maschera di winlogon; a questo punto 
entra in gioco l'LSA (Locai Security Autho- 
rity, è il processo lsass.exe nel Task Mana- 
ger) che richiama il pacchetto di autentica- 
zione MSV1_0 contenuto nella libreria 

msvl_0.dll nella car- 

fella winnt/system32. 
Questo pacchetto è 
costituito da due livel- 
li: un livello superiore, 
che viene eseguito nel 
computer locale (quel- i 
lo di Caio), che cripta 
la password e verifica 
se l'autenticazione è in 
locale, se non lo è, 
passa l'hash (così si 
chiama la stringa otte- 
nuta dopo la cifratura) 
al servizio Netlogon di 
Caio, che si occupa di 
trovare il dominio HJ (in genere ciò avvie- 
ne o attraverso messaggi di broadcast via 
NetBIOS, che vengono inviati all'avvio del 
sistema o attraverso il file Imhosts o attra- 
verso il WINS (Windows Internet Name 



lominio HJ, il Netlogon 
invia l'hash con le credenziali di logon al 
PDC (Primary Domain Controller) di HJ at- 
traverso una RPC (Remote Procedure Cali). 
Il servizio di Netlogon del PDC di HJ riceve 
quindi l'hash da Caio e (invece di fumarse- 
lo;-)) lo passa al livello inferiore del suo 
MSV1_0, che a sua volta interroga il Secu- 
rity Account Manager(SAM). Quest'ultimo 
confronta l'hash rice- 
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di Windows NT. 



Lo 



schema della procedura 



vuto con quello ali inter- 
no del suo database e, in caso di esito po- 
sitivo, crea un Security Identifier (SID) che 
racchiude in sé le credenziali dell'utente 
Caio. Il SID viene inviato di nuovo al livello 
inferiore dell'MSVl_0, da qui al Netlogon 
che lo ripassa al Netlogon di Caio con una 
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RPC e, attraverso il livello superiore del- 
I'MSV1_0 di Caio, arriva all'LSA di Caio. 
Quest'ultimo effettua lo step finale della 
connessione, costituito dalla creazione del 
token di accesso per il processo di Caio. 
Questo contiene due SID, uno in cui sono 
contenute le credenziali che Caio ha nel 
dominio HJ e l'altro in cui sono contenute 
le credenziali che l'utente Caio ha nel com- 
puter locale. Dopo quest'ultimo passaggio 
ad ogni richiesta di accesso a risorse del 
dominio HJ verrà attaccato il token appena 
generato. 



» Punti deboli 

La principale vulnerabilità di questa proce- 
dura è il sistema NT Lan Manager, con cui 
vengono criptate le password e generati gli 
hash nelle comunicazione con i sistemi "in- 
feriori" (Win95/98/Me). La debolezza con- 
siste nel fatto che le passwordm prima di 
essere criptate, vengono divise in due bloc- 
chi da 7 caratteri per un massimo di 1 4 ca- 
ratteri per password; ciò permette a pro- 
grammi come LOphtcrack (www.lopht.com) 
di decrittare la password attaccando un 
singolo blocco che, nel caso sia costitui- 
to da 7 caratteri di tipo alfanumerico 
viene scoperto in un massimo di 24 
ore. Considerate inoltre che questa opera- 
zione può essere eseguita offline, cioè sen- 
za rischio, avendo però o il file del SAM o 
sniffando gli hash durante una comunica- 
zione client-server. Entrambe queste ope- 
razioni però non sono semplicissime da 
realizzare, a meno che l'amministratore di 
sistema non sia un idiota. Altro difetto, non 
secondario, è il continuo invio degli 
hash delle password, che viene ripe- 
tuto ogni volta che si cerca di accede- 
a una risorsa. In questo modo è più 
probabile che qualcuno riesca 
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mevostrocomputer/cartellacondivisa/ciao.t 
xt , basta che qualcuno faccia clic sul 
link per fare in modo che il suo com- 
puter tenti una connessione con la 
macchina dell'attaccante, e gli invii 
gli hash delle password che lui snif- 
ferà con LOphtcrack. Pensate cosa po- 
trebbe significare per qualcuno riuscire ad 
avere la password del proprio capo ufficio! 

» Su Windows 2D0D 

Per far fronte a queste vulnerabilità, in Win- 
dows 2000 sono state effettuate alcune 
modifiche rilevanti alla procedura d'auten- 
ticazione: l'utilizzo del protocollo Ker- 
beros è probabilmente la più im- 
portante. Questo proto- 
collo è stato sviluppato al 
MIT nell'ambito del pro- 
getto Athena, ed è uno 
standard aperto. Il sistema L 
d'autenticazione del Ker- I 
beros è basato su crittogra- I 
fia a chiave simmetrica, i 
cioè la stessa chiave può ci- 1 
fra re e decifrare i dati. I 

Nel momento in cui un uten- I 
te si connette a un PDC Win- I 
dows 2000, quest'ultimo, | 
dopo aver verificato nome 
utente e password, genera 
una chiave di sessione e la in- 
via al client all'interno di un pacchetto de- 
nominato TGT (ticket-granting ticket). Da 
questo momento in poi e per tutta la dura- 
ta della chiave di sessione, il client utilizze- 
rà soltanto quest'ultima per la cifratura 
delle comunicazioni con altri sistemi Kerbe- 
ros del dominio, e quindi non dovrà più 
utilizzare la sua password né criptata in un 
hash, né naturalmente in chiaro. Se il client 
vuole accedere a una risorsa del dominio, 
invia la sua TGT al servizio KDC (Key Dis- 
tribution Center — Centro di Distri- 
buzione di Chiavi) del PDC 
Win2000; quest'ultimo, vedendo che 
l'utente è in possesso di un TGT vali- 
do ed è quindi già stato autenticato, 
gli restituisce un resource o service tic- 



Win2000, renderebbe quindi molto 
difficile se non impossibile l'intercet- 
tazione delle password, se non fosse 
per un piccolo difetto: la necessità di 
compatibilità con i sistemi precedenti (Win- 
dows NT & C.) ha indotto Microsoft a man- 
tenere il mitico NTLM che entra in azione 
nel momento in cui Kerberos non è dispo- 
nibile. Se quindi qualcuno volesse in- 
tercettare gli hash alla vecchia ma- 
niera, dovrebbe fare in modo che 
Kerberos non entri in azione nel PDC 
del dominio vittima. Questo per esem- 
pio potrebbe essere provocato da un attac- 
co SYN flooding sulla porta TCP 88, che 
rende il servizio non più disponibile. Per 
questo conviene dis- __ 




Finestra di configuratone 
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a intercettarla. Basti pensare che, se 

si riesce ad inviare via email al computer 

vittima un link di questo tipo: file:////no- 



o al servizio al quale vuole accedere. 
Questo accade per esempio quando 
un utente voglia accedere ad una car- 
tella condivisa che non si trova sul PDC, 
ma su un altro server non-PDC del do- 
minio. Le impostazioni sulla durata del- 
le chiavi sono impostabili sulla console 
, dell'Active Directory di Win2000 (vedi fi- 
gura). 
Il sistema Kerberos, che attualmente è il 
protocollo d'autenticazione di default di 



attivare l'NTLM, in modo 
che l'autenticazione possa avvenire 
soltanto sfruttando Kerberos, o altri- 
menti venga impedita. Per fare ciò, si 
possono chiudere con un firewall le porte 
139 e 445, che servono a gestire le con- 
nessioni NetBIOS/SMB che utilizzano 
NTLM. Il modo più corretto però è quello di 
seguire questa semplice procedura: 
Si va su Start - Impostazioni - Rete e con- 
nessioni remote. A questo punto, tra i menù 
della finestra scegliere 'Avanzate" e cliccare 
sulla voce "Impostazioni Avanzate". Vi tro- 
vate davanti una finestra in cui nella parte 
superiore si può scegliere la connessione di 
rete desiderata. A ogni connesione di rete 
corrisponde una scheda montata sul server 
(in genere ce ne sono due, una per la rete 
interna ed una per Internet). Selezionate 
quella collegata ad Internet e, nella parte 
inferiore della finestra, deselezionate la 
"Condivisione file e stampanti per reti Mi- 
crosoft". Questa impostazione non chiude 
del tutto le porte 1 39 e 445 ma fa sì che 
non rispondano alle richeste di connessio- 
ne. In questo modo il sistema accetta solo 
connessioni su protocollo Kerberos. 

ROBERTO "DECODER" ENEA 
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La diffusione di worm e virus segnala all'u- 
tente ancora una volta la necessità non so- 
lo di avere un software antivirus installato 
sul proprio computer ma anche di tenerlo 
costantemente aggiornato per evitare brut- 
te sorprese. Come per i Top Wanted, i mag- 
giori ricercati dalle autorità negli USA, an- 
che sul Web sono state stilate delle classifi- 
che per individuare quei 
virus o quei worm 
maggiormente diffusi 
sulla rete, software 
malevoli ed aggressivi 
che spesso riescono a 
mantenere una eleva- 
tissima diffusione sui 
sistemi Windows an- 
che molti mesi dopo la 
loro comparsa. Alcuni 
di questi virus si rendo- 
no inoffensivi se sono 
state installate le patch 
per le vulnerabilità sfrut- 
tate, altri hanno bisogno 
di un programma Antivi- 
rus per evitare che infettino il computer. Nel- 
la classifica dei Top Virus Threats stilata dal 
Symantec Security Response sono inseriti 
solo quei virus o quei worm che hanno 
raggiunto un livello di attenzione pari a '4'. 
Si tratta di una soglia che segnala un'am- 
pia diffusione del worm e dunque una pro- 
babilità elevata di riceverlo; per questo ve 
ne parliamo per mettervi in guardia e 
istruirvi su come evitare o rimuovere que- 
ste "infezioni". 
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Attualmente al vertice dei Top Threats ci sono 
Klez, Badtrans, Nimda, Sircam e Hybris: alcu- 
ni di questi meritano maggiore attenzione e li 
analizzeremo in dettaglio in questo articolo e 
nei prossimi, mentre gli altri li vediamo qui di 
seguito sommariamente: 
Badtrans - Scoperto alla fine del 2001 , la sua 
caratteristica è quella di arrivare via email con 
un allegato delle dimensioni di 29.020 byte, 
il cui nome è casuale. Anche il soggetto del- 
l'email può essere sempre diverso ma sembra 
che la diffusione di questo worm stia diven- 
tando sempre più limitata e non ritengo quin- 
di che ci sia bisogno di approfondimenti. 
Sircam - Stesso discorso vale per Sircam che, 
scoperto il 17 luglio 2001, sta scomparendo 
dalla circolazione. Questo worm è infatti ab- 
bastanza semplice da individuare: arriva via 
email con un allegato di almeno 134 KB e il 
testo del messaggio che lo contiene presenta 
nella prima riga la frase 'Hi! How are you?' e 
nell'ultima riga la frase 'See you later. Thanks' 
(anche in spagnolo: 'Hola corno estas?' e 'Nos 
vemos pronto, gracias.'). Anche questo non 
credo che abbia bisogno di analisi approfon- 
dite perché basta un buon AntiVirus per indi- 
viduarlo e annientarlo. 
Hybris - Attivo dal 25 settembre 2000, Hybris 
arriva sempre tramite email contenuto in un 
allegato con estensione .EXE o .SCR. Alcune 
varianti di questo worm disegnano una spira- 
le sul monitor del computer infetto, altre va- 
rianti possono infettare numerosi file ma vie- 
ne riconosciuto dalla maggior parte degli an- 
tivirus perché è abbastanza vecchio e non c'è 
bisogno dell'ultima versione delle definizioni 
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dei virus per annientare la sua minaccia. 
In questo numero ci occupiamo in particolare 
del primo worm dei Top Threats, Klez, scoper- 
to il 17 Aprile 2002, mentre nel prossimo nu- 
mero parleremo del Nimda. Il worm princi- 
pale è W32.Klez.gen ma esistono altre due 
varianti messe in circolazione da un po' di 
tempo che sono W32.Klez.E@mm e 
W32.Klez.H@mm. Questo worm sta circo- 
lando ancora molto in Italia: arriva via email 
con indirizzo del mittente e soggetto casuali 
con un allegato di circa 60 KB. 

Azioni compiute 

Klez è capace di infettare tutte le versioni di 
Windows mentre sono immuni all'infezione 
Macintosh, Unix, Linux. Il worm è pericoloso e 
capace di provocare danni sul PC vittima ma 
per rimuovere l'infezione la Symantec ha 
prontamente realizzato un programma gra- 
tuito che potete scaricare all'indirizzo seguen- 
te: http://securityresponse.symantec.com/av- 
center/venc/data/w3 2. klez. remova l.tool.html 

Modalità di contagio 

Per diffondere la sua infezione, questo worm 
usa spesso una tecnica chiamata "spoofing". 
Quando esegue la sua routine di invio delle 
email, potrebbe usare un indirizzo scelto a 
caso tra quelli trovati sul computer infetto co- 
me indirizzo del mittente. Per esempio, Alfon- 
so usa un PC infetto da Klez e non usa un An- 
tiVirus aggiornato. Quando Klez cerca di dif- 
fondersi inviando l'infezione ad altri trova, tra 
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tutti gli indirizzi email individuati, quello di 
Matteo. Il worm allora inserisce nel campo 
del mittente l'indirizzo di Nicola, anch'esso 
trovato sul PC infetto, e lo invia a Matteo. 
Quando Matteo, che ha un antivirus aggior- 
nato, scoprirà l'infezione nell'email ricevuta 
da Nicola, la segnalerà a quest'ultimo che 
pur eseguendo la scansione sul proprio PC 
non troverà alcuna infezione. Questo è un 
modo per rendere più difficile la localizzazio- 
ne del PC infetto da cui è partita l'infezione. 
Se si sta usando un buon antivirus, come il 
Norton, e le definizioni dei virus sono aggior- 
nate, si può stare tranquilli, perché l'antivirus 
prowederà subito a rilevare l'infezione nell'e- 
mail ed eliminarla. 

Solitamente Klez arriva tramite un'email di un 
mittente casuale e un testo e oggetto variabi- 
li. Nelle sue recenti varianti però, come 
W32.Lez.H@mm, l'infezione potrebbe arri- 
vare anche in una finta email della Symantec 
simile alla seguente: 

Carne Klez incolpa 
le persone sbagliate 

Klez è difficile da individuare, perché il 
messaggio infetto non arriva mai dalla 
persona che appare nel messaggio. 
Ecco come fa: 



1 



Klez arriva sul PC di Tizio, che non 
ha un antivirus in grado di rilevarlo 



2 Legge il contenuto della sua rubri- 
ca, e ci trova gli indirizzi email di 
Caio e Sempronio 

3 Klez spedisce un'email a Sempronio 
dal computer di Tizio, ma usando 
come mittente del messaggio l'indirizzo 
di Sempronio 

4 Sempronio riceve il virus e, se si ac- 
corge dell'infezione, darà la colpa a 
Caio, che però non ne sa nulla. 



Soggetto: W32.Klez removal tools 

Allegati: Install.exe 

Messaggio: 

"W32.Klez is a dangerous virus 

that spread through email. 

Symantec give you the W32.Klez 

removal tools For more informa- 

tion,please visit http:/ 

/www . Symantec . com" 

E bene ricordare che Symantec, non invia mai 

email simili, che vanno ritenute sempre false. 

Operazioni compiote 

Questo worm inserisce il virus W32.EI- 
kern.4926 come un file dal nome casuale 
nella cartella Program Files del PC contagiato 
e lo esegue (il nome della cartella può varia- 
re a seconda del sistema operativo). 
Per continuare il suo contagio, Klez cerca la 
rubrica di Windows, il database di ICQ e nei 
file locali del PC infetto per scovare indirizzi 
email, a cui invierà poi l'infezione. L'oggetto, 
il testo e il nome dell'email è variabile, e an- 
che l'indirizzo del mittente è scelto casual- 
mente fra gli indirizzi trovati sul computer in- 
fetto. In aggiunta all'infezione, il worm po- 
trebbe anche allegare un file a caso dal com- 
puter di partenza. Questo accade per i file 
con estensione mp8, txt, htm, html, wab, asp, 
doc, rtf, xls, jpg, cpp, pas, mpg, mpeg, bak, 
mp3 e pdf, che potrebbero essere allegati al- 
le email con l'infezione. Come risultato l'e- 
mail potrebbe avere due allegati, il primo do- 
vrebbe essere il worm mentre il secondo il file 
selezionato a caso. 

Klez infetta i file eseguibili creando una copia 
nascosta del file originale e poi sovrascriven- 
do il file originale con se stesso. La copia na- 
scosta è decifrata ma non contiene dati infet- 
ti. Il nome del file nascosto è lo stesso dell'ori- 
ginale, ma con un altra estensione. 
Inoltre il worm copia se stesso nel PC infetto 
come: 

- Un file con estensione doppia come, per 
esempio, nomefile.txt.exe 



- Un archivio .rar che ha un'estensione dop- 
pia come nomefile.txt. rar 

Dettagli tecnici 

- Quando il worm viene eseguito si copia in 

\System\<nome casuale>.exe. 
NOTA: "System" è variabile. Il Worm localizza 
la cartella di sistema di Windows (di default 
questa è C:\Windows\System o 

C:\Winnt\System32) e copia se stesso in 
questa directory. 

- Aggiunge un valore dal nome casuale e un 
altro e System\Wink<nome 
casuale>.exe alla chiave di regi- 
stro HKEY_LOCAL_MACHINE\Softwa- 
re\Microsof t:\Wiridows\CurreritVer- 
sion\Run oppure crea la chiave di registro 
HKEY_LOCAL_MACHINE\System\Cur- 
rentControlSet \ Service s\<nome 
casuale> e inserisce un valore nella sotto- 
chiave in modo da far eseguire il worm all'av- 
vio di Windows. 

- Il worm disabilita, durante le scansioni, il ri- 
levamento della sua infezione e di quella di 
alcuni worm come Nimda e CodeRed, ri- 
muovendo le chiavi di avvio del registro usate 
dagli antivirus e fermando i processi attivi. 

Come difendersi 

Buona norma è comunque quella di non 
aprire o effettuare l'anteprima di messaggi 
email che hanno un soggetto insolito e alle- 
gati, anche se si conosce il mittente; nel dub- 
bio conviene chiedere una conferma al mit- 
tente. Per scoprire se si il computer è infettato 
da qualche virus e non si possiede un softwa- 
re Antivirus, è sempre possibile utilizzare il 
servizio gratuito 'Security Check' che effettua 
una scansione online del sistema ed e' acces- 
sibile a partire dalla HomePage del Symantec 
Security Response (SSR), al seguente indirizzo: 
http://securityresponse- 
symantec.com/ 

http: //security -babel.it/klez 
. html 

{RoSiiiEIL} 
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COMPRENDERE 



PREVENIRE 



ATTACCHI BRUTEFORCE 



ai 



E PRSSWORO MTELUGENT1 



Il meccanismo di autenticazione del 
protocollo Ftp presta il fianco a un 

attacco semplice ma 
— efficace: tentare tutte le 

possibili combinazioni di 
password. 



w 




ra i vari servizi che un server mette a disposizione, mol- 
to comunemente vi è l'FTR Per accedervi bisogna colle- 
garsi alla porta numero 21 e autenticarsi. Facciamo un 
esempio. Molti di voi avranno un sito internet. Nella 
stragrande maggioranza dei casi, lo spazio è messo a 
disposizione dal proprio provider e risiede sul server dell'ISP stesso. 
Per potervi depositare le proprie pagine Html tutti avrete dovuto uti- 
lizzare uno dei vari programmi come WS_FTP e, dopo aver impo- 
stato il proprio username e la password, avrete cominciato le ope- 
razioni di trasferimento file. 

Il programma che voi avete utilizzato, altro non ha fatto se non 
creare una connessione sulla porta 21 del server e, rispettando le 
specifiche del protocollo FTf^ inviare i vostri dati di login per poi po- 
ter dare i comandi PUT e GET (invio e ricezione file). La stessa co- 
sa avreste potuto simularla anche a mano grazie al Telnet. Prova- 
te ad aprire telnet (in Windows lo trovate in c:\windows\telnet.exe) 
digitando la seguente stringa dal prompt: 



reva.it, ftp.libero.it, ecc....). Magicamente vedrete che, se 
servizio è attivo, il server vi risponderà: 



(la frase varia da server a server ma il numero rimane ugua- 
le) Proseguite la comunicazione come segue: 



(solo i numeri sono standard, le frasi dipendono dal demone 
del server) Se lo username e la password da voi inserite sono 
corrette, ora siete dentro al servizio. Nel caso abbiate spedito 
un dato non esatto, il server vi avrà risposto con: 



al posto della parola provider mettete il vostro ISP (ftp.supe- 



oppure con un messaggio che indica che la connessione è 
stata terminata a causa di un nome utente o una password 
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sbagliata: 



Oltre che a depositare pagine web, i servizi FTP servono an- 
che ad altri scopi, tra cui il download di file da aree protette, 
riservate solo a utenti autorizzati. Sia che si possieda un ac- 
count ftp per pubblicare un sito Web, o si amministri un ser- 
ver Ftp, per aumentare la propria sicurezza bisogna 
conoscere le più comuni tecniche di attacco. Tra queste, 
la più semplice è probabilmente l'attacco a forza bruta: un 
software prova ripetutamente tutte le combinazioni di pas- 
sword possibili, fino a trovare quella giusta. 
Questa tecnica si può applicare con due varianti: attraverso 
l'uso di un dizionario (un file contenente le password più 
comuni) o con un puro attacco a forza bruta, provando 
tutte le combinazioni di caratteri che compongono la 
password. Noi vedremo la seconda, anche se con piccole 
modifiche al codice si possono provare entrambe. Il codice 
che segue gira sotto sistemi operativi *nix e non sotto Win- 
dows (anche se il porting è piuttosto semplice). 
A scanso di equivoci ricordiamo che questi programmi ven- 
gono spiegati a puro scopo di conoscenza, o per essere pro- 
vati sul proprio server allo scopo di aumentarne la sicurezza. 
Il loro utilizzo senza autorizzazione contro server al- 
trui è un reato penale e porterà sicuramente a delle gra- 
ne legali. Questo vale anche se si attacca il proprio sito in ho- 
sting presso un provider, perché la macchina attaccata è la 
sua, non la vostra. 



ine per potè: 




servizio 



sock ( ) ; 



:ruct hoster 



Lr password [MAXI 



» Il codice 

La prima cosa da fare è aprire una connessione, poi bisogna 
decidere l'alfabeto da usare, cercando di restringere il nume- 
ro di tentativi. Se si suppone che l'alfabeto valido sia 
"abcdl2", il bruteforce proverà: 

"a", l, b l, ,..., ll aa ,l , ,l ab", ll ac ll ,..., ,l 2adl 11 ,... 

Il limite massimo di tentativi è ovviamente dato dal numero di 
caratteri che compone la password (alfabeto). 
La scelta dell'alfabeto la lasceremo all'utente grazie a un 
parametro inviato durante la chiamata del programma. Un 
altra cosa da decidere è il numero massimo di caratteri della 
password. Anche in questo caso la scelta spetta a chi 
lancia il programmino. Bisogna inoltre passare al software 
l'indirizzo del server, e lo username. 

Per quanto riguarda la porta, l'FTP utilizza due porte: la 21 
per le comunicazioni e i comandi, mentre la 20 per gli stream 
di dati. In ogni caso, il socket deve essere aperto con la por- 
ta 21, e possiamo disinteressarci del resto. 
Invece di analizzare poche righe di codice alla volta, abbia- 
mo preferito inserire dei commenti in ogni punto in 
cui sia necessario (sono racchiusi tra i simboli /*); leggete- 
li attentamente per capire il funzionamento del programma. 
Il codice assumerà il seguente aspetto: 
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J J \E3^X@y\E3/ 



to a sproposito da chi non è in grado di capirne il funzionamento, 
abbiamo volutamente inserito un errore che farà blocca- 
re il programma dopo il primo tentativo (cosa non si fa per 
tener buoni gli script kiddy). 



Fin qui nulla di strano: apriamo la connessione, verifichiamo che 
ogni risposta del server sia corretta, e tentiamo il login, finché non 
ho provato tutte le combinazioni, o ancor meglio ho trovato la pas- 
sword. Il ciclo for, come si può vedere, impone come limite il nu- 
mero 26 elevato alla lunghezza massima della password: queste 
sono tutte le effettive possibili stringhe creabili con il nostro alfabe- 
to (composto da 26 caratteri). 

Ogni volta verifico che il servizio non abbia fatto cadere la con- 
nessione, nel qual caso allora cerco di ripristinarla. 
La parte più importante è la seguente: la funzione per creare le 
password. L'algoritmo non è il meglio sul mercato, ma svolge di- 
gnitosamente il suo lavoro. Notate come calcoli la parola segreta 
in base al numero di combinazione a cui siamo giunti. 
Alla fine della password devo inserire il carattere di terminazione 
stringa, altrimenti rischio (anzi è certo che lo ottenga) Terrore. Ve- 
diamola: 



Fatto. Compiliamo e lanciamo. Consiglio un redirect dello 
standard output, al fine di trovare solo Tesito dell'operazione 
senza dover aspettare che finisca: modificando i parametri 
potrei trovarmi ad avere un numero spropositato di combinazioni. 
Un'ultima precisazione sul programma: per evitare che venga usa- 



» Contromisure 



Per utenti senza particolari privilegi, come possono esserlo i più, 
Tunica difesa consiste nella scelta di una password "diffi- 
cile". Per difficile si intende una password la cui forzatura risulti al- 
goritmicamente complessa (ma non sarà mai impossibile). Per fa- 
re questo è consigliabile optare per una parola di almeno 8 carat- 
teri, che non abbia senso compiuto, e che utilizzi non solo lette- 
re, ma anche numeri ed eventuali segni di punteggiatu- 
ra permessi dal parser del server. Non serve che sia qualcosa di 
casuale, potrebbe anche solo essere composta dalle consonati del 
nostro nome e da un numero sostitutivo per le vocali, e con in mez- 
zo un interpunzione: per esempio se uno si chiama Andrea la pas- 
sword potrebbe essere 4Nd.R34. Ovviamente, una sequenza 
casuale è molto meglio di una soluzione di questo tipo, 
perché una password così composta può essere facilmente indovi- 
nata senza nemmeno bisogno di programmi particolari. 
Se invece avete privilegi di superutente sul servizio, potete ricorrere 
alla tecnica più in voga oggi: in caso di un eccessivo numero 
di tentativi o di connessioni consecutive, si può inibire 
l'accesso a quell'IP. Tecnicamente anche questo metodo non e' 
però a prova di bomba: se ad arrivare sono pacchetti spoofati co- 
me quelli di un servizio a noi necessario, inibendolo si perde l'uso 
del servizio stesso; e poi l'attacker potrebbe settore il programma 
affinché lasci correre un certo intervallo tra una sessione di login 
ed un'altra: così facendo aumenta il tempo di esecuzione, ma il 
gioco potrebbe valere la candela! 

Anche altre tecniche risultano efficaci, ma con un po' di immagi- 
nazione si vede anche quali sono i limiti... Scovare le password 
non è mai infattibile, e mai potrà esserlo. 

Il codice visto sopra, non esegue un'ottima gestione degli errori. 
Inoltre si potrebbe migliore l'algoritmo di bruteforce, aprendo più 
thread (grazie al comando C fork()), eseguendo così più tentativi 
contemporaneamente, e riducendo di conseguenza il tempo di 
esecuzione. Si potrebbe inoltre consentire di provare combinazioni 
che cominciano con un prefisso statico (magari perché si sa già co- 
me inizia la password). Tali migliorie, ovviamente esulano dallo 
scopo dell'articolo, e le lascio a voi. 

Avrete notato, che il programma potrebbe essere utilizzato tramite 
semplicissime modifiche per forzare anche altri servizi (ad esempio 
POP3). Tutto dipende dalla fantasia dell'attacker, e dalle sue cono- 
scenze dei vari protocolli. 

Infine... 

Voglio inoltre aggiungere che molti dei defacciatori di siti utilizza- 
no proprio il bruteforce visto sopra. Queste persone, credono di es- 
sere hacker e si vantano per questo delle loro imprese. Lascio a voi 
decidere se tali lamer possono definirsi hacker e effettivamente 
hanno dovuto sfruttare al meglio le loro conoscenze informatiche, 
o se hanno solo fatto uso di qualche ritaglio di codice trovato per 
la rete, lo credo che il rovinare dei siti solo per poi van- 
tarsene sia da idioti. Mi aspetto quindi che le informazioni 
apprese oggi siano utilizzate con coscienza, m 

LOXEO 
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